Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dreams.msi
- %TEMP%\fame
- %TEMP%\publication
- %TEMP%\plant
- %TEMP%\thriller
- %TEMP%\italiano
- %TEMP%\bases
- %TEMP%\determining
- %TEMP%\tigers
- %TEMP%\owns
- %TEMP%\709131\sunset.com
- %TEMP%\conversations
- %TEMP%\slovenia.msi.bat
- %TEMP%\slovenia.msi
- %TEMP%\organizer.msi
- %TEMP%\issued.msi
- %TEMP%\mint.msi
- %TEMP%\trucks.msi
- %TEMP%\handbook.msi
- %TEMP%\halfcom.msi
- %TEMP%\indie.msi
- %TEMP%\whenever
- %TEMP%\709131\b
Удаляет следующие файлы
- %TEMP%\709131\b
Самоудаляется.
Сетевая активность
UDP
- DNS ASK MZ########ilggqB.MZkZYmqsXCilggqB
Другое
Создает и запускает на исполнение
- '%TEMP%\709131\sunset.com' B
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Slovenia.msi Slovenia.msi.bat & Slovenia.msi.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn"
- '%WINDIR%\syswow64\extrac32.exe' /Y Indie.msi *.*
- '%WINDIR%\syswow64\findstr.exe' /V "COACHES" Determining
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
