Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\spirit.wav
- %TEMP%\establishing.wav
- %TEMP%\chances.wav
- %TEMP%\dayton.wav
- %TEMP%\isaac.wav
- %TEMP%\hebrew.wav
- %TEMP%\colored.wav
- %TEMP%\comics.wav
- %TEMP%\establishing.wav.bat
- %TEMP%\wy
- %TEMP%\commentary
- %TEMP%\waters
- %TEMP%\sleeps
- %TEMP%\working
- %TEMP%\emerging
- %TEMP%\moms
- %TEMP%\usual
- %TEMP%\secret
- %TEMP%\clock
- %TEMP%\welcome
- %TEMP%\594744\favourite.com
- %TEMP%\594744\p
Удаляет следующие файлы
- %TEMP%\594744\p
Самоудаляется.
Сетевая активность
UDP
- DNS ASK pD############ibaZiWntpO.pDUEBRUuOVQjDWibaZiWntpO
Другое
Создает и запускает на исполнение
- '%TEMP%\594744\favourite.com' p
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Establishing.wav Establishing.wav.bat & Establishing.wav.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set SHxMACDKstzxgzUfOAiIHBHcKDAMziHaA=AutoIt3.exe & Set jSsNAnHp=.a3x & Set KBaNJTUqNtahEefI=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Hebrew.wav *.*
- '%WINDIR%\syswow64\findstr.exe' /V "CONFIRM" Secret
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
