Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- thongs.com
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dispatch.mp4
- %TEMP%\solomon.mp4
- %TEMP%\code.mp4
- %TEMP%\transmission.mp4
- %TEMP%\idle.mp4
- %TEMP%\avenue.mp4
- %TEMP%\gods.mp4
- %TEMP%\marker.mp4
- %TEMP%\attack.mp4
- %TEMP%\knee.mp4
- %TEMP%\silicon.mp4
- %TEMP%\brooklyn.mp4
- %TEMP%\transfer.mp4
- %TEMP%\interpretation.mp4
- %TEMP%\gods.mp4.bat
- %TEMP%\economy
- %TEMP%\employed
- %TEMP%\abilities
- %TEMP%\offices
- %TEMP%\lottery
- %TEMP%\horrible
- %TEMP%\investing
- %TEMP%\along
- %TEMP%\circus
- %TEMP%\lucas
- %TEMP%\firewire
- %TEMP%\birmingham
- %TEMP%\792093\thongs.com
- %TEMP%\792093\p
Удаляет следующие файлы
- %TEMP%\792093\p
Сетевая активность
UDP
- DNS ASK DR##########GWFEZUUm.DRhjRGUexPnRGWFEZUUm
Другое
Создает и запускает на исполнение
- '%TEMP%\792093\thongs.com' p
- '%TEMP%\792093\thongs.com'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Gods.mp4 Gods.mp4.bat & Gods.mp4.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set uiKjSWFvoajaZCifSDVisVJ=AutoIt3.exe & Set CdOjNCUjGJLusvtDtTTCbX=.a3x & Set XmFsedGEbYMsjCmuroxMU=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Knee.mp4 *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Gtk" Lucas
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
- '<SYSTEM32>\dialer.exe'
