Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\est.xlsm
- %TEMP%\tape.xlsm
- %TEMP%\victims.xlsm
- %TEMP%\extras.xlsm
- %TEMP%\interaction.xlsm
- %TEMP%\charity.xlsm
- %TEMP%\watson.xlsm
- %TEMP%\reproduced.xlsm
- %TEMP%\spears.xlsm
- %TEMP%\est.xlsm.bat
- %TEMP%\amd
- %TEMP%\moderator
- %TEMP%\villas
- %TEMP%\border
- %TEMP%\trend
- %TEMP%\richard
- %TEMP%\correct
- %TEMP%\blond
- %TEMP%\harvest
- %TEMP%\solution
- %TEMP%\410175\las.com
- %TEMP%\410175\y
Удаляет следующие файлы
- %TEMP%\410175\y
Самоудаляется.
Сетевая активность
UDP
- DNS ASK yA######FtUt.yAZYdABXFtUt
Другое
Создает и запускает на исполнение
- '%TEMP%\410175\las.com' Y
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Est.xlsm Est.xlsm.bat & Est.xlsm.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set xPslnxHdewFUtAvqyMPDzLiNnmDWKsAHutnP=AutoIt3.exe & Set ujScDOEKDtJkHwiHidG=.a3x & Set SedZGQTI=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Reproduced.xlsm *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Loop" Villas
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
