Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\decimal
- %TEMP%\45912\simpson.pif
- %TEMP%\chains
- %TEMP%\columns
- %TEMP%\donate
- %TEMP%\enhancement
- %TEMP%\taylor
- %TEMP%\teddy
- %TEMP%\45912\h
- %TEMP%\cingular
- %TEMP%\tumor
- %TEMP%\brakes
- %TEMP%\concert
- %TEMP%\who
- %TEMP%\jeans
- %TEMP%\them
- %TEMP%\ana
- %TEMP%\aspnet
- %TEMP%\45912\regasm.exe
Удаляет следующие файлы
- %TEMP%\45912\h
Перемещает следующие файлы
- %TEMP%\them в %TEMP%\them.cmd
Сетевая активность
UDP
- DNS ASK aK##############sWcRXxjZAlPv.aKwBETNQYoQQjihEsWcRXxjZAlPv
Другое
Создает и запускает на исполнение
- '%TEMP%\45912\simpson.pif' H
- '%TEMP%\45912\regasm.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /k move Them Them.cmd & Them.cmd & exit (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa.exe opssvc.exe"
- '%WINDIR%\syswow64\findstr.exe' /I "avastui.exe avgui.exe bdservicehost.exe ekrn.exe nswscsvc.exe sophoshealth.exe"
- '%WINDIR%\syswow64\cmd.exe' /c md 45912
- '%WINDIR%\syswow64\findstr.exe' /V "LUXEMBOURGCUSTOMIZEDTANKMIDI" Chains
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\Who + ..\Jeans + ..\Teddy + ..\Aspnet + ..\Enhancement + ..\Donate + ..\Cingular + ..\Ana + ..\Concert + ..\Taylor + ..\Tumor + ..\Brakes + ..\Decimal H
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
