Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nse8ed7.tmp
- %TEMP%\criterion.mdb
- %TEMP%\thomson.mdb
- %TEMP%\getting.mdb
- %TEMP%\people.mdb
- %TEMP%\shaved.mdb
- %TEMP%\nsu91a6.tmp\nsexec.dll
- %TEMP%\wednesday
- %TEMP%\buf
- %TEMP%\cord
- %TEMP%\england
- %TEMP%\practitioner
- %TEMP%\marcus
- %TEMP%\milk
- %TEMP%\cn
- %TEMP%\corrections
- %TEMP%\march
- %TEMP%\157692\bernard.pif
- %TEMP%\157692\i
Удаляет следующие файлы
- %TEMP%\157692\i
Самоудаляется.
Сетевая активность
UDP
- DNS ASK gu#############NsuBLyIuUcEt.guhnmOirRRRPmZeNsuBLyIuUcEt
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\157692\bernard.pif' I
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c cmd < Criterion.mdb (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' "SophosHealth nsWscSvc ekrn bdservicehost AvastUI AVGUI & if not errorlevel 1 Set nRsMshOCWItsRanWAYVcXAJYfYwelFyFOwbcG=AutoIt3.exe & Set AhgJCpxMZBGdepfcSDAsMeKlrOubfahi=.a3x & Set kkyHHcPXxs...
- '%WINDIR%\syswow64\extrac32.exe' /Y People.mdb *.*
- '%WINDIR%\syswow64\findstr.exe' /V "Sport" Cord
- '%WINDIR%\syswow64\waitfor.exe' /T 5 kkyHHcPXxsVqqxbxUtjpzTneXvawQXeCNTi
