Technical Information
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'TEWERTHIILKUJHG' = '%TEMP%\35175676\ioa.exe %TEMP%\35175676\hrv=nwb'
- %WINDIR%\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe
- %TEMP%\35175676\xns.ico
- %TEMP%\35175676\aoc.txt
- %TEMP%\35175676\gww.txt
- %TEMP%\35175676\ivv.docx
- %TEMP%\35175676\gej.mp4
- %TEMP%\35175676\ttk.jpg
- %TEMP%\35175676\aol.xl
- %TEMP%\35175676\nss.xl
- %TEMP%\35175676\blv.icm
- %TEMP%\35175676\hsw.xl
- %TEMP%\35175676\sew.ppt
- %TEMP%\35175676\rdx.docx
- %TEMP%\35175676\nuu.txt
- %TEMP%\35175676\xed.ppt
- %TEMP%\35175676\lrs.dat
- %TEMP%\35175676\gxo.pdf
- %TEMP%\35175676\hbi.docx
- %TEMP%\35175676\wgt.ico
- %TEMP%\35175676\gcq.ico
- %TEMP%\35175676\YCKDL
- %TEMP%\35175676\spd
- %APPDATA%\Microsoft\Windows\XGgA6Wbi\XGgA6Wbi.nfo
- %TEMP%\35175676\pgq.jpg
- %APPDATA%\Microsoft\Windows\XGgA6Wbi\XGgA6Wbi.dat
- %TEMP%\35175676\gvg.dat
- %TEMP%\35175676\pna.dat
- %TEMP%\35175676\hrv=nwb
- %TEMP%\35175676\ioa.exe
- %TEMP%\35175676\tjj.jpg
- %TEMP%\35175676\khp.xl
- %TEMP%\35175676\lst.txt
- %TEMP%\35175676\ijk.txt
- %TEMP%\35175676\tta.jpg
- %TEMP%\35175676\swo.ico
- %TEMP%\35175676\hwu.mp3
- %TEMP%\35175676\tmv.xl
- %TEMP%\35175676\waa.jpg
- %TEMP%\35175676\cwg.pdf
- %TEMP%\35175676\iua.txt
- %TEMP%\35175676\xtm.bmp
- %TEMP%\35175676\tkc.ico
- %TEMP%\35175676\doo.dat
- %TEMP%\35175676\raa.docx
- %TEMP%\35175676\nel.bmp
- %TEMP%\35175676\phw.docx
- %TEMP%\35175676\hro.jpg
- %TEMP%\35175676\tpd.dat
- %TEMP%\35175676\bml.mp4
- %APPDATA%\Microsoft\Windows\XGgA6Wbi\XGgA6Wbi.svr
- %TEMP%\35175676\aoc.txt
- %TEMP%\35175676\nuu.txt
- %TEMP%\35175676\pgq.jpg
- %TEMP%\35175676\phw.docx
- %TEMP%\35175676\pna.dat
- %TEMP%\35175676\raa.docx
- %TEMP%\35175676\rdx.docx
- %TEMP%\35175676\sew.ppt
- %TEMP%\35175676\swo.ico
- %TEMP%\35175676\tjj.jpg
- %TEMP%\35175676\tmv.xl
- %APPDATA%\Microsoft\Windows\XGgA6Wbi\XGgA6Wbi.dat
- %TEMP%\35175676\tpd.dat
- %TEMP%\35175676\tta.jpg
- %TEMP%\35175676\ttk.jpg
- %TEMP%\35175676\waa.jpg
- %TEMP%\35175676\wgt.ico
- %TEMP%\35175676\xed.ppt
- %TEMP%\35175676\xns.ico
- %TEMP%\35175676\xtm.bmp
- %APPDATA%\Microsoft\Windows\XGgA6Wbi\XGgA6Wbi.nfo
- %TEMP%\35175676\nss.xl
- %TEMP%\35175676\tkc.ico
- %TEMP%\35175676\nel.bmp
- %TEMP%\35175676\gxo.pdf
- %TEMP%\35175676\aol.xl
- %TEMP%\35175676\blv.icm
- %TEMP%\35175676\bml.mp4
- %TEMP%\35175676\cwg.pdf
- %TEMP%\35175676\doo.dat
- %TEMP%\35175676\gcq.ico
- %TEMP%\35175676\gej.mp4
- %TEMP%\35175676\gvg.dat
- %TEMP%\35175676\gww.txt
- %TEMP%\35175676\hbi.docx
- %TEMP%\35175676\lrs.dat
- %TEMP%\35175676\hro.jpg
- %TEMP%\35175676\hrv=nwb
- %TEMP%\35175676\hsw.xl
- %TEMP%\35175676\hwu.mp3
- %TEMP%\35175676\ijk.txt
- %TEMP%\35175676\ioa.exe
- %TEMP%\35175676\iua.txt
- %TEMP%\35175676\ivv.docx
- %TEMP%\35175676\khp.xl
- %TEMP%\35175676\lst.txt
- %APPDATA%\Microsoft\Windows\XGgA6Wbi\XGgA6Wbi.svr
- %TEMP%\35175676\YCKDL
- %APPDATA%\Microsoft\Windows\XGgA6Wbi\XGgA6Wbi.svr
- 'wi####up.16-b.it':900
- 'c0######.is-not-certified.com':900
- 'rs######r.jumpingcrab.com':900
- 'rs####.ntdll.net':900
- 'rs#####ts.ssl443.org':900
- DNS ASK www.google.com
- DNS ASK wi####up.16-b.it
- DNS ASK c0######.is-not-certified.com
- DNS ASK rs######r.jumpingcrab.com
- DNS ASK rs####.ntdll.net
- DNS ASK rs#####ts.ssl443.org
- ClassName: 'EDIT' WindowName: ''
- '%TEMP%\35175676\ioa.exe' hrv=nwb
- '%TEMP%\35175676\ioa.exe' %TEMP%\35175676\YCKDL
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe'