Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\ecomonitor.url
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\59405\civic
- %TEMP%\59405\enforcement
- %TEMP%\59405\annotated
- %TEMP%\59405\switches
- %TEMP%\59405\vehicle
- %TEMP%\59405\protein
- %TEMP%\59405\monaco
- %TEMP%\59405\mandate
- %TEMP%\59405\stereo
- %TEMP%\59405\you
- %TEMP%\59405\5125\whale.pif
- %TEMP%\59405\5125\s
- %LOCALAPPDATA%\ecowatch innovations\t
- %LOCALAPPDATA%\ecowatch innovations\ecomonitor.pif
- %LOCALAPPDATA%\ecowatch innovations\ecomonitor.js
Сетевая активность
UDP
- DNS ASK vF########ImahOsq.vFMEXemPxlImahOsq
Другое
Создает и запускает на исполнение
- '%TEMP%\59405\5125\whale.pif' 5125\s
- '%WINDIR%\syswow64\cmd.exe' /k cmd < Enforcement & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /k cmd < Enforcement & exit
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "avastui.exe avgui.exe nswscsvc.exe sophoshealth.exe"
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa.exe"
- '%WINDIR%\syswow64\cmd.exe' /c mkdir 5125
- '%WINDIR%\syswow64\cmd.exe' /c copy /b Mandate + Monaco + Vehicle + Annotated + You + Civic 5125\Whale.pif
- '%WINDIR%\syswow64\cmd.exe' /c copy /b Protein + Switches + Stereo 5125\s
- '%WINDIR%\syswow64\ping.exe' -n 5 localhost
- '%WINDIR%\syswow64\cmd.exe' /k echo [InternetShortcut] > "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\EcoMonitor.url" & echo URL="%LOCALAPPDATA%\EcoWatch Innovations\EcoMonitor.js" >> "%APPDATA%\Microsoft\Wind...
