Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\microsoft analysis services\as oledb\10\cartridges\audiodg.exe
- %ProgramFiles(x86)%\microsoft analysis services\as oledb\10\cartridges\42af1c969fbb7b
- %HOMEPATH%\recent\taskhost.exe
- %HOMEPATH%\recent\b75386f1303e64
- C:\msocache\all users\{90140000-0043-0409-1000-0000000ff1ce}-c\firefox.exe
- C:\msocache\all users\{90140000-0043-0409-1000-0000000ff1ce}-c\0fc223bdacedc3
- C:\users\public\downloads\iexplore.exe
- C:\users\public\downloads\9db6e019d4f04e
- C:\recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\dwm.exe
- C:\recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\6cb0b6c459d5d3
- %TEMP%\bj6xwe8w4d
- %TEMP%\jlzivispal.bat
- nul
- %HOMEPATH%\desktop\ztoalzva.log
Удаляет следующие файлы
- %TEMP%\bj6xwe8w4d
Сетевая активность
Подключается к
- '95.##4.47.182':80
TCP
Запросы HTTP POST
- http://95.##4.47.182/geo_temp/16WindowsProton/Generator3/PacketdefaultTestCentral/2/1javascript3Js/3PublicMariadbasync/Jseternal/processor/eternalImageVideoJavascriptCpulongpolluploadsTemporary...
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\microsoft analysis services\as oledb\10\cartridges\audiodg.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\JlZiViSPAL.bat" (со скрытым окном)
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\ping.exe' -n 10 localhost
