Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ks.iso
- %TEMP%\ds.iso
- %TEMP%\ties.iso
- %TEMP%\para.iso
- %TEMP%\http.iso
- %TEMP%\investigate.iso
- %TEMP%\jun.iso
- %TEMP%\cultures.iso
- %TEMP%\sandra.iso
- %TEMP%\articles.iso
- %TEMP%\ks.iso.bat
- %TEMP%\attractive
- %TEMP%\skirts
- %TEMP%\pcs
- %TEMP%\nec
- %TEMP%\rivers
- %TEMP%\young
- %TEMP%\laboratories
- %TEMP%\va
- %TEMP%\retrieval
- %TEMP%\runtime
- %TEMP%\675578\sku.com
- %TEMP%\675578\j
Удаляет файлы, которые сам же создал
- %TEMP%\675578\j
Сетевая активность
UDP
- DNS ASK Py##########ENSPAdRrX.PyjLEuyAmvGxENSPAdRrX
- DNS ASK ec####le.digital
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Создает и запускает на исполнение
- '%TEMP%\675578\sku.com' J
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Ks.iso Ks.iso.bat & Ks.iso.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "opssvc wrsa"
- '%WINDIR%\syswow64\findstr.exe' "SophosHealth bdservicehost AvastUI AVGUI nsWscSvc ekrn"
- '%WINDIR%\syswow64\cmd.exe' /c md 675578
- '%WINDIR%\syswow64\extrac32.exe' /Y /E Investigate.iso
- '%WINDIR%\syswow64\findstr.exe' /V "ion" Runtime
- '%WINDIR%\syswow64\cmd.exe' /c copy /b 675578\Sku.com + Va + Laboratories + Pcs + Attractive + Rivers + Retrieval + Nec + Skirts + Young 675578\Sku.com
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\Ties.iso + ..\Para.iso + ..\Articles.iso + ..\Jun.iso + ..\Http.iso + ..\Cultures.iso + ..\Ds.iso + ..\Sandra.iso J
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
