Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\causes.mp3
- %TEMP%\lots.mp3
- %TEMP%\automated.mp3
- %TEMP%\validity.mp3
- %TEMP%\za.mp3
- %TEMP%\holly.mp3
- %TEMP%\fork.mp3
- %TEMP%\compliant.mp3
- %TEMP%\inside.mp3
- %TEMP%\inside.mp3.bat
- %TEMP%\modifications
- %TEMP%\dsl
- %TEMP%\airplane
- %TEMP%\greeting
- %TEMP%\level
- %TEMP%\tobago
- %TEMP%\heaven
- %TEMP%\boy
- %TEMP%\escorts
- %TEMP%\routines
- %TEMP%\handjobs
- %TEMP%\267502\provisions.com
- %TEMP%\267502\j
Удаляет следующие файлы
- %TEMP%\267502\j
Самоудаляется.
Сетевая активность
UDP
- DNS ASK Eb###########WDkuATOcN.EbzCQlGrwIEnvWDkuATOcN
Другое
Создает и запускает на исполнение
- '%TEMP%\267502\provisions.com' J
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Inside.mp3 Inside.mp3.bat & Inside.mp3.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set YpnKlKmdkEQBYfnMgdX=AutoIt3.exe & Set ateoQuzPnvGWnIHCgK=.a3x & Set kVzJe=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Lots.mp3 *.*
- '%WINDIR%\syswow64\findstr.exe' /V "HEADLINE" Routines
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
