Technical Information
- %TEMP%\120426_crypt.exe
- %TEMP%\120426_readme.txt
- %TEMP%\120426_tree.cmd
- 'lo#####thspringfield.us':80
- http://lo#####thspringfield.us/counter/?id#######################################################################################################################################################...
- DNS ASK ai####upchicago.com
- DNS ASK lo#####thspringfield.us
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\120426_tree.cmd" "' (with hidden window)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\120426_tree.cmd" "