Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\deep-settled
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zsfx000.cmd
- C:\users\public\deepmouthed\deep-settled.mp3
Удаляет следующие файлы
- %TEMP%\7zsfx000.cmd
- %HOMEPATH%\join.log.vbs
Перемещает следующие файлы
- %HOMEPATH%\join.log в %HOMEPATH%\join.log.vbs
Самоудаляется.
Сетевая активность
UDP
- DNS ASK de######nching.gortomalo.ru
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%HOMEPATH%\join.log.vbs"
- '%WINDIR%\syswow64\cmd.exe' /c rename %HOMEPATH%\join.log join.log.vbs' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c start /b %HOMEPATH%\join.log.vbs' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /CREATE /sc minute /mo 8 /tn "deep-settled" /tr "wscript.exe "C:\Users\Public\\deepmouthed\deep-settled.mp3" cracker /cosy //b /cottage //e:VBScript /crept cracker " /F' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c rename %HOMEPATH%\join.log join.log.vbs
- '%WINDIR%\syswow64\cmd.exe' /c start /b %HOMEPATH%\join.log.vbs
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "
- '%WINDIR%\syswow64\schtasks.exe' /CREATE /sc minute /mo 8 /tn "deep-settled" /tr "wscript.exe "C:\Users\Public\\deepmouthed\deep-settled.mp3" cracker /cosy //b /cottage //e:VBScript /crept cracker " /F
