Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\time.xll
- %TEMP%\cz.xll
- %TEMP%\wheels.xll
- %TEMP%\forces.xll
- %TEMP%\rim.xll
- %TEMP%\residents.xll
- %TEMP%\webcams.xll
- %TEMP%\nationwide.xll
- %TEMP%\blogs.xll
- %TEMP%\cz.xll.bat
- %TEMP%\combination
- %TEMP%\creek
- %TEMP%\collect
- %TEMP%\rope
- %TEMP%\rail
- %TEMP%\mixer
- %TEMP%\ken
- %TEMP%\identify
- %TEMP%\advertisers
- %TEMP%\pubs
- %TEMP%\340188\gourmet.com
- %TEMP%\340188\k
Удаляет следующие файлы
- %TEMP%\340188\k
Самоудаляется.
Сетевая активность
UDP
- DNS ASK nd###########IxWDQGJdHc.ndvbsnHQBrZoVIxWDQGJdHc
Другое
Создает и запускает на исполнение
- '%TEMP%\340188\gourmet.com' K
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Cz.xll Cz.xll.bat & Cz.xll.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set wbKyrMRNTnbsxxQTH=AutoIt3.exe & Set cqATgsRfDkwKGgXQZ=.a3x & Set MzafJcMOnaEtH=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Time.xll *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Front" Identify
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
