Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\turned.mp4
- %TEMP%\max.mp4
- %TEMP%\ethics.mp4
- %TEMP%\dogs.mp4
- %TEMP%\saints.mp4
- %TEMP%\southern.mp4
- %TEMP%\medline.mp4
- %TEMP%\scenarios.mp4
- %TEMP%\wrote.mp4
- %TEMP%\scenarios.mp4.cmd
- %TEMP%\shape
- %TEMP%\vitamin
- %TEMP%\machinery
- %TEMP%\madrid
- %TEMP%\bundle
- %TEMP%\viruses
- %TEMP%\bean
- %TEMP%\bufing
- %TEMP%\evaluating
- %TEMP%\kate
- %TEMP%\corporation
- %TEMP%\155059\expected.com
- %TEMP%\155059\x
Удаляет следующие файлы
- %TEMP%\155059\x
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ad###########kfMfRgseY.adlwXmjTcJdeekfMfRgseY
Другое
Создает и запускает на исполнение
- '%TEMP%\155059\expected.com' X
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Scenarios.mp4 Scenarios.mp4.cmd & Scenarios.mp4.cmd (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "nsWscSvc ekrn bdservicehost SophosHealth AvastUI AVGUI & if not errorlevel 1 Set FVqdfmmuirXpNIUVmdhinoolQAFEdnDlmCKHsq=AutoIt3.exe & Set VyRfJkhJqtGaWmJTZDjqVtkvLBe=.a3x & Set tPgzPN=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Medline.mp4 *.*
- '%WINDIR%\syswow64\findstr.exe' /V "PORSCHE" Bean
- '%WINDIR%\syswow64\choice.exe' /d n /t 5
