Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\vocabulary.mdb
- %TEMP%\moment.mdb
- %TEMP%\bahrain.mdb
- %TEMP%\cancelled.mdb
- %TEMP%\best.mdb
- %TEMP%\ti.mdb
- %TEMP%\wholesale.mdb
- %TEMP%\scheduling.mdb
- %TEMP%\rivers.mdb
- %TEMP%\vocabulary.mdb.bat
- %TEMP%\ruled
- %TEMP%\creating
- %TEMP%\banners
- %TEMP%\graduated
- %TEMP%\zinc
- %TEMP%\reaction
- %TEMP%\initiatives
- %TEMP%\loving
- %TEMP%\most
- %TEMP%\maple
- %TEMP%\air
- %TEMP%\169148\refrigerator.com
- %TEMP%\169148\u
Удаляет следующие файлы
- %TEMP%\169148\u
Самоудаляется.
Сетевая активность
UDP
- DNS ASK hR######ieaNc.hRubBFKbieaNc
Другое
Создает и запускает на исполнение
- '%TEMP%\169148\refrigerator.com' U
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Vocabulary.mdb Vocabulary.mdb.bat & Vocabulary.mdb.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set pJtquWEPocurVoSfjJmkQWLLMLtLFXnww=AutoIt3.exe & Set yqASOA=.a3x & Set MRgIxEaFmfTEg=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Scheduling.mdb *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Profession" Reaction
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
