Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- polo.com
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\director.eps
- %TEMP%\funding.eps
- %TEMP%\sticker.eps
- %TEMP%\posted.eps
- %TEMP%\bought.eps
- %TEMP%\affected.eps
- %TEMP%\got.eps
- %TEMP%\cached.eps
- %TEMP%\mat.eps
- %TEMP%\spas.eps
- %TEMP%\collect.eps
- %TEMP%\viii.eps
- %TEMP%\location.eps
- %TEMP%\refugees.eps
- %TEMP%\location.eps.bat
- %TEMP%\displays
- %TEMP%\ring
- %TEMP%\com
- %TEMP%\pin
- %TEMP%\sm
- %TEMP%\dv
- %TEMP%\lot
- %TEMP%\authorized
- %TEMP%\does
- %TEMP%\ringtones
- %TEMP%\solomon
- %TEMP%\195542\polo.com
- %TEMP%\195542\r
Удаляет следующие файлы
- %TEMP%\195542\r
Сетевая активность
Подключается к
- '14#.#49.115.85':80
TCP
Запросы HTTP POST
- http://14#.#49.115.85/40b5b0e3a77a44dc.php
UDP
- DNS ASK Nf###########GSuzPAOzIp.NfYubbNIvxfTHGSuzPAOzIp
Другое
Создает и запускает на исполнение
- '%TEMP%\195542\polo.com' r
- '%TEMP%\195542\polo.com'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Location.eps Location.eps.bat & Location.eps.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set xLCneleKfqMEZOWFmv=AutoIt3.exe & Set PJocG=.a3x & Set glvncznxbFistiAODnHJHWWLEda=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Collect.eps *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Walked" Solomon
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
