Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tube.accdt
- %TEMP%\bathroom.accdt
- %TEMP%\armstrong.accdt
- %TEMP%\lounge.accdt
- %TEMP%\july.accdt
- %TEMP%\delicious.accdt
- %TEMP%\error.accdt
- %TEMP%\kai.accdt
- %TEMP%\cheaper.accdt
- %TEMP%\error.accdt.bat
- %TEMP%\prisoners
- %TEMP%\islamic
- %TEMP%\fabrics
- %TEMP%\contractors
- %TEMP%\stuart
- %TEMP%\have
- %TEMP%\address
- %TEMP%\lenses
- %TEMP%\fuzzy
- %TEMP%\population
- %TEMP%\823409\reserved.com
- %TEMP%\823409\s
Удаляет следующие файлы
- %TEMP%\823409\s
Самоудаляется.
Сетевая активность
UDP
- DNS ASK Xn#########QusyULrf.XnYQgFzMCVZQusyULrf
Другое
Создает и запускает на исполнение
- '%TEMP%\823409\reserved.com' s
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Error.accdt Error.accdt.bat & Error.accdt.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set NAJN=AutoIt3.exe & Set XXDyzKTSKYrkEqeAhAnpuToEPSUyVQynb=.a3x & Set iOnnxztrehClVFeMgoaRWGAYqkjlUbnKfQKkGQL=30...
- '%WINDIR%\syswow64\extrac32.exe' /Y Kai.accdt *.*
- '%WINDIR%\syswow64\findstr.exe' /V "onto" Contractors
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
