Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\pl.vsdm
- %TEMP%\mistress.vsdm
- %TEMP%\prix.vsdm
- %TEMP%\mill.vsdm
- %TEMP%\curtis.vsdm
- %TEMP%\revolutionary.vsdm
- %TEMP%\busy.vsdm
- %TEMP%\dare.vsdm
- %TEMP%\mill.vsdm.bat
- %TEMP%\cas
- %TEMP%\driving
- %TEMP%\laser
- %TEMP%\backing
- %TEMP%\scotland
- %TEMP%\collecting
- %TEMP%\tvcom
- %TEMP%\consistency
- %TEMP%\suite
- %TEMP%\hockey
- %TEMP%\jaguar
- %TEMP%\756949\assigned.com
- %TEMP%\756949\p
Удаляет следующие файлы
- %TEMP%\756949\p
Самоудаляется.
Сетевая активность
UDP
- DNS ASK qU######EsJIB.qUIIIvwQEsJIB
Другое
Создает и запускает на исполнение
- '%TEMP%\756949\assigned.com' P
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Mill.vsdm Mill.vsdm.bat & Mill.vsdm.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set IsGmutAHG=AutoIt3.exe & Set UUsgcGgGpFaKwBuqBqmHCKrsInoQ=.a3x & Set NmSANtQFinqsZxmQlMdFPUBGkz=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Pl.vsdm *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Detective" Jaguar
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
