Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- me.com
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\citizens.aspx
- %TEMP%\cameras.aspx
- %TEMP%\loop.aspx
- %TEMP%\volleyball.aspx
- %TEMP%\critics.aspx
- %TEMP%\ingredients.aspx
- %TEMP%\have.aspx
- %TEMP%\terminals.aspx
- %TEMP%\loop.aspx.bat
- %TEMP%\gather
- %TEMP%\fewer
- %TEMP%\fiji
- %TEMP%\face
- %TEMP%\dresses
- %TEMP%\attached
- %TEMP%\controllers
- %TEMP%\initiative
- %TEMP%\server
- %TEMP%\quit
- %TEMP%\preceding
- %TEMP%\diary
- %TEMP%\centre
- %TEMP%\746996\me.com
- %TEMP%\746996\b
Удаляет следующие файлы
- %TEMP%\746996\b
Сетевая активность
Подключается к
- 't.#e':443
- 'st####ommunity.com':443
- '11#.#02.186.71':443
TCP
Другие
- 't.#e':443
- 'st####ommunity.com':443
- '11#.#02.186.71':443
UDP
- DNS ASK Uw#########sepQvoug.UwIgtCkeUVnsepQvoug
- DNS ASK t.#e
- DNS ASK st####ommunity.com
Другое
Создает и запускает на исполнение
- '%TEMP%\746996\me.com' B
- '%TEMP%\746996\me.com'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Loop.aspx Loop.aspx.bat & Loop.aspx.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set SyKSdgY=AutoIt3.exe & Set PMntwM=.a3x & Set tBAkHQxqjzZrtxXJgno=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Terminals.aspx *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Treatment" Face
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
