Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\useful.vsd
- %TEMP%\remarkable.vsd
- %TEMP%\zinc.vsd
- %TEMP%\ahead.vsd
- %TEMP%\compounds.vsd
- %TEMP%\bay.vsd
- %TEMP%\newark.vsd
- %TEMP%\wagon.vsd
- %TEMP%\zinc.vsd.bat
- %TEMP%\soldiers
- %TEMP%\gratuit
- %TEMP%\integral
- %TEMP%\flesh
- %TEMP%\threatened
- %TEMP%\nottingham
- %TEMP%\filters
- %TEMP%\someone
- %TEMP%\old
- %TEMP%\book
- %TEMP%\bicycle
- %TEMP%\668450\gore.com
- %TEMP%\668450\c
Удаляет следующие файлы
- %TEMP%\668450\c
Самоудаляется.
Сетевая активность
UDP
- DNS ASK bd#####Btd.bdACxaeBtd
Другое
Создает и запускает на исполнение
- '%TEMP%\668450\gore.com' C
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Zinc.vsd Zinc.vsd.bat & Zinc.vsd.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set AaRdBvpdPbWgsduBzmFOhpoyKJDMhTt=AutoIt3.exe & Set uStFuPWxNyEvJExzlsTPoZZCQdEpuDLqCnSP=.a3x & Set YhhsTxzZHCQC...
- '%WINDIR%\syswow64\extrac32.exe' /Y Wagon.vsd *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Gather" Threatened
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
