Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\manhattan.avi
- %TEMP%\inclusive.avi
- %TEMP%\sure.avi
- %TEMP%\warnings.avi
- %TEMP%\cartoons.avi
- %TEMP%\vc.avi
- %TEMP%\participated.avi
- %TEMP%\bottle.avi
- %TEMP%\amended.avi
- %TEMP%\participated.avi.bat
- %TEMP%\why
- %TEMP%\fiji
- %TEMP%\convicted
- %TEMP%\ht
- %TEMP%\grass
- %TEMP%\mu
- %TEMP%\raw
- %TEMP%\th
- %TEMP%\ap
- %TEMP%\sync
- %TEMP%\cheese
- %TEMP%\verify
- %TEMP%\xanax
- %TEMP%\118366\perth.com
- %TEMP%\118366\k
Удаляет файлы, которые сам же создал
- %TEMP%\118366\k
Сетевая активность
Подключается к
- 't.#e':443
- 'st####ommunity.com':443
TCP
Другие
- 't.#e':443
- 'st####ommunity.com':443
UDP
- DNS ASK BQ#########rxhDlDvb.BQfaRPuITLfrxhDlDvb
- DNS ASK t.#e
- DNS ASK ca###wawd.run
- DNS ASK na###thfpt.top
- DNS ASK ja###hyfuc.run
- DNS ASK on###nqpom.life
- DNS ASK la###aflbx.shop
- DNS ASK ov###ovtcg.top
- DNS ASK bl###swmxc.top
- DNS ASK po###swsnc.top
- DNS ASK fe###rlyin.top
- DNS ASK st####ommunity.com
Другое
Создает и запускает на исполнение
- '%TEMP%\118366\perth.com' k
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Participated.avi Participated.avi.bat & Participated.avi.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn"
- '%WINDIR%\syswow64\cmd.exe' /c md 118366
- '%WINDIR%\syswow64\extrac32.exe' /Y /E Cartoons.avi
- '%WINDIR%\syswow64\findstr.exe' /V "Recipes" Th
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\Sure.avi + ..\Bottle.avi + ..\Amended.avi + ..\Warnings.avi + ..\Inclusive.avi + ..\Manhattan.avi + ..\Vc.avi k
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
