Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\existing
- %TEMP%\faculty
- %TEMP%\wants
- %TEMP%\elvis
- %TEMP%\distribution
- %TEMP%\jam
- %TEMP%\altered
- %TEMP%\futures
- %TEMP%\unfortunately
- %TEMP%\lower
- %TEMP%\screens
- %TEMP%\gnu
- %TEMP%\ca
- %TEMP%\travelling
- %TEMP%\sap
- %TEMP%\dsc
- %TEMP%\523266\relationship.com
- %TEMP%\523266\x
Удаляет следующие файлы
- %TEMP%\523266\x
Перемещает следующие файлы
- %TEMP%\jam в %TEMP%\jam.cmd
Сетевая активность
Подключается к
- 't.#e':443
- 'st####ommunity.com':443
- '37.##.192.221':443
TCP
Другие
- 't.#e':443
- 'st####ommunity.com':443
- '37.##.192.221':443
UDP
- DNS ASK ez#####pWHt.ezaZTimpWHt
- DNS ASK t.#e
- DNS ASK st####ommunity.com
Другое
Создает и запускает на исполнение
- '%TEMP%\523266\relationship.com' x
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c move Jam Jam.cmd & Jam.cmd (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "AvastUI AVGUI bdservicehost nsWscSvc ekrn SophosHealth"
- '%WINDIR%\syswow64\cmd.exe' /c md 523266
- '%WINDIR%\syswow64\findstr.exe' /V "landing" Ca
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\Existing + ..\Lower + ..\Wants + ..\Elvis + ..\Distribution x
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
