Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\battery
- %TEMP%\229353\a
- %TEMP%\229353\bow.pif
- %TEMP%\show.bat
- %TEMP%\hd
- %TEMP%\entities
- %TEMP%\productions
- %TEMP%\ottawa
- %TEMP%\recognised
- %TEMP%\cases
- %TEMP%\delays.tmp
- %TEMP%\clearly
- %TEMP%\moment
- %TEMP%\partial
- %TEMP%\deer
- %TEMP%\bite
- %TEMP%\spas
- %TEMP%\cookbook
- %TEMP%\bomb
- %TEMP%\show
- %TEMP%\oman
- %TEMP%\super
- %ALLUSERSPROFILE%\chrome.dll
Удаляет следующие файлы
- %TEMP%\229353\a
- %TEMP%\229353\bow.pif
Сетевая активность
Подключается к
- 't.#e':443
- 'st####ommunity.com':443
TCP
Другие
- 't.#e':443
- 'st####ommunity.com':443
UDP
- DNS ASK rL##########jmkkOlwe.rLIFJbkdGFPjjmkkOlwe
- DNS ASK t.#e
- DNS ASK st####ommunity.com
Другое
Создает и запускает на исполнение
- '%TEMP%\229353\bow.pif' a
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Show Show.bat & Show.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa opssvc"
- '%WINDIR%\syswow64\findstr.exe' -I "avastui avgui bdservicehost nswscsvc sophoshealth"
- '%WINDIR%\syswow64\cmd.exe' /c md 229353
- '%WINDIR%\syswow64\findstr.exe' /V "centralmotherboardreadsawful" Deer
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\Bite + ..\Cases + ..\Partial + ..\Ottawa + ..\Oman + ..\Battery + ..\Moment + ..\Entities + ..\Clearly + ..\Productions + ..\Hd + ..\Super + ..\Spas + ..\Cookbook + ..\Recognised ...
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
- '%WINDIR%\syswow64\cmd.exe' /c timeout /t 10 & del /f /q "%TEMP%\229353\Bow.pif" & rd /s /q "%ALLUSERSPROFILE%\DAAAFBKECAKE" & exit (со скрытым окном)
- '%WINDIR%\syswow64\timeout.exe' /t 10
