Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- pays.com
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\free
- %TEMP%\hit.cmd
- %TEMP%\digital
- %TEMP%\get
- %TEMP%\preventing
- %TEMP%\approach
- %TEMP%\ball
- %TEMP%\marriott
- %TEMP%\birmingham
- %TEMP%\hold
- %TEMP%\394505\pays.com
- %TEMP%\hit
- %TEMP%\nyc
- %TEMP%\art
- %TEMP%\forums
- %TEMP%\mortgage
- %TEMP%\bean
- %TEMP%\lt
- %TEMP%\published
- %TEMP%\ascii
- %TEMP%\ip
- %TEMP%\ward
- %TEMP%\394505\y
Удаляет следующие файлы
- %TEMP%\394505\y
Сетевая активность
UDP
- DNS ASK cu######IlkvD.cuSvpagqIlkvD
Другое
Создает и запускает на исполнение
- '%TEMP%\394505\pays.com' y
- '%TEMP%\394505\pays.com'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Hit Hit.cmd && Hit.cmd (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa opssvc"
- '%WINDIR%\syswow64\findstr.exe' "AvastUI AVGUI bdservicehost nsWscSvc ekrn SophosHealth"
- '%WINDIR%\syswow64\cmd.exe' /c md 394505
- '%WINDIR%\syswow64\findstr.exe' /V "WHERELDTRANSSEXUALQUITEPIXELSGROUNDGAINEDPOINTING" Ascii
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\Ball + ..\Marriott + ..\Nyc + ..\Hold + ..\Digital + ..\Forums + ..\Preventing + ..\Mortgage + ..\Ip + ..\Published y
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
