Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\established.jpg
- %TEMP%\up.jpg
- %TEMP%\sticks.jpg
- %TEMP%\printers.jpg
- %TEMP%\actions.jpg
- %TEMP%\almost.jpg
- %TEMP%\brochures.jpg
- %TEMP%\looks.jpg
- %TEMP%\volt.jpg
- %TEMP%\volt.jpg.bat
- %TEMP%\worldsex
- %TEMP%\references
- %TEMP%\agent
- %TEMP%\pipes
- %TEMP%\harold
- %TEMP%\pins
- %TEMP%\concluded
- %TEMP%\feature
- %TEMP%\portuguese
- %TEMP%\pour
- %TEMP%\expanded
- %TEMP%\432811\smooth.com
- %TEMP%\432811\i
Удаляет следующие файлы
- %TEMP%\432811\i
Самоудаляется.
Сетевая активность
UDP
- DNS ASK Gu##########zjKHxlew.GuGOlgXATybrzjKHxlew
Другое
Создает и запускает на исполнение
- '%TEMP%\432811\smooth.com' i
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Volt.jpg Volt.jpg.bat & Volt.jpg.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set WTWeCJRHnQjpWResuXaRjuzPxbYFNhbkAGH=AutoIt3.exe & Set KUauBpAncgceSqQjbhWnLryvbslsLXOSEy=.a3x & Set EvvvqBcYMS...
- '%WINDIR%\syswow64\extrac32.exe' /Y Actions.jpg *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Judge" Pins
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
