Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\toner.pot
- %TEMP%\procedures.pot
- %TEMP%\other.pot
- %TEMP%\requests.pot
- %TEMP%\cv.pot
- %TEMP%\jill.pot
- %TEMP%\older.pot
- %TEMP%\aol.pot
- %TEMP%\genres.pot
- %TEMP%\cv.pot.bat
- %TEMP%\machines
- %TEMP%\eggs
- %TEMP%\lending
- %TEMP%\opinions
- %TEMP%\wal
- %TEMP%\stupid
- %TEMP%\topic
- %TEMP%\function
- %TEMP%\satellite
- %TEMP%\neighborhood
- %TEMP%\conditions
- %TEMP%\thing
- %TEMP%\3117\selections.com
- %TEMP%\3117\i
Сетевая активность
Подключается к
- 'un##ew.xyz':443
TCP
Другие
- 'un##ew.xyz':443
UDP
- DNS ASK Vn######jRAC.VnNFhiryjRAC
- DNS ASK sm##kp.shop
- DNS ASK pa##pw.xyz
- DNS ASK co##xjs.xyz
- DNS ASK un##ew.xyz
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\3117\selections.com' i
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Cv.pot Cv.pot.bat & Cv.pot.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set jlTkEGCcBZpGavHTK=AutoIt3.exe & Set JLuosAqTxHSqPalkqNhpZnsCzNp=.a3x & Set QbqCZLmQlyBvXesGsRJWnXaoijV=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Toner.pot *.*
- '%WINDIR%\syswow64\findstr.exe' /V "passwords" Machines
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
