Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\charlie
- %TEMP%\school
- %TEMP%\glass
- %TEMP%\mesh
- %TEMP%\ways
- %TEMP%\slope
- %TEMP%\pa
- %TEMP%\drawings
- %TEMP%\charlie.cmd
- %TEMP%\280202\violent.com
- %TEMP%\280202\d
Удаляет файлы, которые сам же создал
- %TEMP%\280202\d
Сетевая активность
UDP
- DNS ASK fi#####.###tings.services.mozilla.com
- DNS ASK xF########wNrpilS.xFZpzLzYVqwNrpilS
- DNS ASK mi####f-horned.cyou
- DNS ASK fr####severz.sbs
Другое
Создает и запускает на исполнение
- '%TEMP%\280202\violent.com' D
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy Charlie Charlie.cmd && Charlie.cmd (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa opssvc"
- '%WINDIR%\syswow64\findstr.exe' "AvastUI AVGUI bdservicehost nsWscSvc ekrn SophosHealth"
- '%WINDIR%\syswow64\cmd.exe' /c md 280202
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\School + ..\Ways + ..\Mesh + ..\Slope + ..\Drawings + ..\Pa D
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
