Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\eavqxqkjjg
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zipsfx.000\avvenne.vssm
- %TEMP%\7zipsfx.000\cercando.vssm
- %TEMP%\7zipsfx.000\starne.vssm
- %TEMP%\7zipsfx.000\tenerezza.vssm
- %TEMP%\7zipsfx.000\distinte.exe.com
- %TEMP%\7zipsfx.000\q
- %APPDATA%\afhwxwplgt\p
- %APPDATA%\afhwxwplgt\eavqxqkjjg.exe.com
- %APPDATA%\afhwxwplgt\avvenne.vssm
- %APPDATA%\afhwxwplgt\thfdductaz.js
- %TEMP%\7zsfx000.cmd
Удаляет следующие файлы
- %TEMP%\7zipsfx.000\q
- %TEMP%\7zipsfx.000\avvenne.vssm
- %TEMP%\7zsfx000.cmd
Самоудаляется.
Сетевая активность
UDP
- DNS ASK jh##############mhvvvUESkDWy.jhGStadDFeXWZzqBmhvvvUESkDWy
Другое
Создает и запускает на исполнение
- '%TEMP%\7zipsfx.000\distinte.exe.com' q
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\cmd < Starne.vssm' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\cmd < Starne.vssm
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\findstr.exe' /V /R "^xOPnRHccwLlqXLcXNbyVTewvYBNUOQNrBSTCQBDisCMXHQdfMnqcbQQsNaAfTAGlYuntRSikUYDddrOilnofQsGKeCObwhhQVBYBaknTsPBmhmwJEzycasxGmNeftJpG$" Cercando.vssm
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 30
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "EAvqxQkjJG" /tr "C:\\Users\\user\\AppData\\Roaming\\AfHWXwPlgT\\EAvqxQkjJG.exe.com C:\\Users\\user\\AppData\\Roaming\\AfHWXwPlgT\\p" /sc onstart /F /RU SYSTEM
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "
- '%WINDIR%\syswow64\nslookup.exe'
