Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zipsfx.000\avvelenate.html
- %TEMP%\7zipsfx.000\irrequieto.html
- %TEMP%\7zipsfx.000\mio.html
- %TEMP%\7zipsfx.000\troppe.html
- %TEMP%\7zipsfx.000\petali.exe.com
- %TEMP%\7zipsfx.000\s
- %TEMP%\7zsfx000.cmd
Удаляет следующие файлы
- %TEMP%\7zipsfx.000\s
- %TEMP%\7zipsfx.000\mio.html
- %TEMP%\7zipsfx.000\avvelenate.html
- %TEMP%\7zipsfx.000\irrequieto.html
- %TEMP%\7zsfx000.cmd
Самоудаляется.
Сетевая активность
UDP
- DNS ASK hC########FPfJRgP.hCpsFpfPrRFPfJRgP
Другое
Создает и запускает на исполнение
- '%TEMP%\7zipsfx.000\petali.exe.com' S
- '%WINDIR%\syswow64\cmd.exe' /c cmd < Irrequieto.html' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\dllhost.exe'
- '%WINDIR%\syswow64\cmd.exe' /c cmd < Irrequieto.html
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\findstr.exe' /V /R "^JrTeDkfjbiWLNMsKkeYyJeThQAkttEiKsNGEFwlRCfHAhtwSUmfaJDYHpFjrqliTZjxZuMylRuDzxaqLnalEgOqNPZcZOiRsoNAwKeMixyBDqFjQFBFIqDElkGlis$" Troppe.html
- '%WINDIR%\syswow64\ping.exe' localhost -n 30
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "
