Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\securespherer.url
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7160\injection
- %TEMP%\7160\worm
- %TEMP%\7160\finds
- %TEMP%\7160\emperor
- %TEMP%\7160\face
- %TEMP%\7160\compound
- %TEMP%\7160\bathrooms
- %TEMP%\7160\15527\epic.pif
- %TEMP%\7160\15527\m
- %LOCALAPPDATA%\safeguard systems inc\f
- %LOCALAPPDATA%\safeguard systems inc\securespherer.pif
- %LOCALAPPDATA%\safeguard systems inc\securespherer.js
Сетевая активность
UDP
- DNS ASK Aa############FDIswyTKUHh.AaZwJulmEhdjOuFDIswyTKUHh
Другое
Создает и запускает на исполнение
- '%TEMP%\7160\15527\epic.pif' 15527\m
- '%WINDIR%\syswow64\cmd.exe' /k cmd < Bathrooms & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /k cmd < Bathrooms & exit
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "avastui.exe avgui.exe nswscsvc.exe sophoshealth.exe"
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa.exe"
- '%WINDIR%\syswow64\cmd.exe' /c mkdir 15527
- '%WINDIR%\syswow64\cmd.exe' /c copy /b Compound + Injection + Emperor + Worm 15527\Epic.pif
- '%WINDIR%\syswow64\cmd.exe' /c copy /b Finds + Face 15527\m
- '%WINDIR%\syswow64\ping.exe' -n 5 localhost
- '%WINDIR%\syswow64\cmd.exe' /k echo [InternetShortcut] > "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\SecureSphereR.url" & echo URL="%LOCALAPPDATA%\SafeGuard Systems Inc\SecureSphereR.js" >> "%APPDATA%\Microso...
