Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rm.wpd
- %TEMP%\martha.wpd
- %TEMP%\agenda.wpd
- %TEMP%\cedar.wpd
- %TEMP%\za.wpd
- %TEMP%\tabs.wpd
- %TEMP%\attach.wpd
- %TEMP%\imagine.wpd
- %TEMP%\patrick.wpd
- %TEMP%\cedar.wpd.bat
- %TEMP%\cayman
- %TEMP%\reveals
- %TEMP%\cardiac
- %TEMP%\fiscal
- %TEMP%\belongs
- %TEMP%\specially
- %TEMP%\replica
- %TEMP%\alot
- %TEMP%\stays
- %TEMP%\acting
- %TEMP%\815429\called.com
- %TEMP%\815429\l
Удаляет следующие файлы
- %TEMP%\815429\l
Самоудаляется.
Сетевая активность
UDP
- DNS ASK Ja##########mAGlerSW.JacCzkgjvVZDmAGlerSW
Другое
Создает и запускает на исполнение
- '%TEMP%\815429\called.com' l
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Cedar.wpd Cedar.wpd.bat & Cedar.wpd.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set LAEmMeWJdmRCfttJdxHzumNeCY=AutoIt3.exe & Set OJOYFQNgVhbfxUzxaBY=.a3x & Set uhsNMGGPBMDEYLPJzBtrpRQSwgSDAKaGDS...
- '%WINDIR%\syswow64\extrac32.exe' /Y Za.wpd *.*
- '%WINDIR%\syswow64\findstr.exe' /V "House" Acting
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
