Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\saturn.wms
- %TEMP%\relocation.wms
- %TEMP%\locale.wms
- %TEMP%\hotels.wms
- %TEMP%\determination.wms
- %TEMP%\wesley.wms
- %TEMP%\italian.wms
- %TEMP%\trusts.wms
- %TEMP%\sessions.wms
- %TEMP%\determination.wms.bat
- %TEMP%\edwards
- %TEMP%\dist
- %TEMP%\bio
- %TEMP%\gays
- %TEMP%\using
- %TEMP%\rewards
- %TEMP%\helpful
- %TEMP%\michelle
- %TEMP%\fabric
- %TEMP%\replaced
- %TEMP%\labeled
- %TEMP%\677212\probe.com
- %TEMP%\677212\n
Удаляет следующие файлы
- %TEMP%\677212\n
Самоудаляется.
Сетевая активность
UDP
- DNS ASK pB########tKZZthl.pBvoJxGjZTtKZZthl
Другое
Создает и запускает на исполнение
- '%TEMP%\677212\probe.com' n
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Determination.wms Determination.wms.bat & Determination.wms.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set ypobUtDaSjDnELNQSVplRnQlWLKvjdNaols=AutoIt3.exe & Set YgeIaiYHHlPYNyVwcfC=.a3x & Set xWeXbXeRgJnBfRMNuaVjFRiDO...
- '%WINDIR%\syswow64\extrac32.exe' /Y Italian.wms *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Pin" Labeled
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
