Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\approve.png
- %TEMP%\shame.png
- %TEMP%\april.png
- %TEMP%\teen.png
- %TEMP%\improve.png
- %TEMP%\san.png
- %TEMP%\event.png
- %TEMP%\contain.png
- %TEMP%\prior.png
- %TEMP%\event.png.bat
- %TEMP%\aw
- %TEMP%\publication
- %TEMP%\privilege
- %TEMP%\mumbai
- %TEMP%\mystery
- %TEMP%\smith
- %TEMP%\ave
- %TEMP%\midi
- %TEMP%\cole
- %TEMP%\obituaries
- %TEMP%\719202\master.com
- %TEMP%\719202\t
Удаляет следующие файлы
- %TEMP%\719202\t
Самоудаляется.
Сетевая активность
UDP
- DNS ASK SI#########twiZbAm.SISTvKAiXAztwiZbAm
Другое
Создает и запускает на исполнение
- '%TEMP%\719202\master.com' t
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Event.png Event.png.bat & Event.png.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set KNfbdNNAbREqyyhRlghebuNkKw=AutoIt3.exe & Set ZggXX=.a3x & Set PJIqyOCppIz=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Teen.png *.*
- '%WINDIR%\syswow64\findstr.exe' /V "QUALIFIED" Cole
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
