Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\pnkgwunpqy.url
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zipsfx.000\duro.vob
- %TEMP%\7zipsfx.000\pietre.vob
- %TEMP%\7zipsfx.000\vaghe.vob
- %TEMP%\7zipsfx.000\contratte.exe.pif
- %TEMP%\iwvybzaoth\g
- %TEMP%\iwvybzaoth\pnkgwunpqy.exe.pif
- %TEMP%\iwvybzaoth\gayqwzqqeh.js
Удаляет следующие файлы
- %TEMP%\7zipsfx.000\h
- %TEMP%\7zipsfx.000\contratte.exe.pif
Перемещает следующие файлы
- %TEMP%\7zipsfx.000\vaghe.vob в %TEMP%\7zipsfx.000\h
Сетевая активность
UDP
- DNS ASK WV#########MQhCyrPo.WVotimNAyYIMQhCyrPo
Другое
Создает и запускает на исполнение
- '%TEMP%\7zipsfx.000\contratte.exe.pif' h
- '%WINDIR%\syswow64\cmd.exe' /c cmd < Pietre.vob' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c cmd < Pietre.vob
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\tasklist.exe' /FI "imagename eq BullGuardCore.exe"
- '%WINDIR%\syswow64\find.exe' /I /N "bullguardcore.exe"
- '%WINDIR%\syswow64\tasklist.exe' /FI "imagename eq PSUAService.exe"
- '%WINDIR%\syswow64\find.exe' /I /N "psuaservice.exe"
- '%WINDIR%\syswow64\findstr.exe' /V /R "^vIiVtqKzRvkazkboRthkjKivDHurggrsRvDqzjcIWNoIBqjeIKhVyVYMBKabUHtDzTBWIvOEIFfnBnUCxrcEqokWnRmIUY$" Duro.vob
- '%WINDIR%\syswow64\waitfor.exe' /t 5 CwNihdSjoBnEEDgmwFDpCsiPKveeh
- '%WINDIR%\syswow64\cmd.exe' /c echo [InternetShortcut] > "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\pnkgwunpqy.url" & echo URL="%TEMP%\IWvyBZaoTh\gaYQwzQQeH.js" >> "%APPDATA%\Microsoft\Windows\Start Menu\Pro...
