Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsze6d6.tmp
- %TEMP%\executives.xls
- %TEMP%\workflow.xls
- %TEMP%\bull.xls
- %TEMP%\habitat.xls
- %TEMP%\adams.xls
- %TEMP%\feet.xls
- %TEMP%\decades.xls
- %TEMP%\upgrade.xls
- %TEMP%\tyler.xls
- %TEMP%\nsze947.tmp\nsexec.dll
- %TEMP%\actress
- %TEMP%\nursery
- %TEMP%\hs
- %TEMP%\remind
- %TEMP%\drunk
- %TEMP%\cds
- %TEMP%\symantec
- %TEMP%\visa
- %TEMP%\locked
- %TEMP%\celebrate
- %TEMP%\outline
- %TEMP%\developed
- %TEMP%\126332\ref.com
- %TEMP%\126332\p
Удаляет следующие файлы
- %TEMP%\126332\p
Перемещает следующие файлы
- %TEMP%\upgrade.xls в %TEMP%\upgrade.xls.cmd
Самоудаляется.
Сетевая активность
UDP
- DNS ASK wY#####PSk.wYCvxFPPSk
Другое
Создает и запускает на исполнение
- '%TEMP%\126332\ref.com' P
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /k move Upgrade.xls Upgrade.xls.cmd & Upgrade.xls.cmd & exit (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "SophosHealth nsWscSvc ekrn bdservicehost AvastUI AVGUI & if not errorlevel 1 Set bfwfpdCOiazDubvoGLuxmXOfEIoTdY=AutoIt3.exe & Set GhvRshhkJDzrihgfJYCtzbf=.a3x & Set IOlsAsUGZziZkCbrBNV=300
- '%WINDIR%\syswow64\extrac32.exe' /Y Adams.xls *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Pins" Celebrate
- '%WINDIR%\syswow64\ping.exe' localhost -n 5
