Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\days.cda
- %TEMP%\presents.cda
- %TEMP%\friendly.cda
- %TEMP%\text.cda
- %TEMP%\cir.cda
- %TEMP%\qld.cda
- %TEMP%\centuries.cda
- %TEMP%\certificates.cda
- %TEMP%\journey.cda
- %TEMP%\certificates.cda.bat
- %TEMP%\til
- %TEMP%\hurricane
- %TEMP%\hammer
- %TEMP%\immediate
- %TEMP%\winners
- %TEMP%\joseph
- %TEMP%\sound
- %TEMP%\numbers
- %TEMP%\recognized
- %TEMP%\postposted
- %TEMP%\gcc
- %TEMP%\671801\santa.com
- %TEMP%\671801\f
Удаляет следующие файлы
- %TEMP%\671801\f
Самоудаляется.
Сетевая активность
UDP
- DNS ASK QB#######hUDHO.QBeGWWoZthUDHO
Другое
Создает и запускает на исполнение
- '%TEMP%\671801\santa.com' f
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Certificates.cda Certificates.cda.bat & Certificates.cda.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn"
- '%WINDIR%\syswow64\extrac32.exe' /Y Presents.cda *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Also" Postposted
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
