Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\dmboot] 'Start' = '00000002'
Подменяет следующие исполняемые системные файлы:
- <DRIVERS>\dmboot.sys файлом <DRIVERS>\dmboot.txt
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' <DRIVERS>\dmboot.sys -A -R -H
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\erdans.bat" "
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\TdAtOnce_Now.dll
- <SYSTEM32>\apx.dll
- <DRIVERS>\dmboot.txt
- %TEMP%\erdans.bat
Удаляет следующие файлы:
- %TEMP%\erdans.bat
- <DRIVERS>\dmboot.sys
Самоудаляется.
Сетевая активность:
Подключается к:
- 'to####.jzads.com':6789
- 'localhost':1036
UDP:
- DNS ASK to####.jzads.com
Другое:
Ищет следующие окна:
- ClassName: 'IEFrame' WindowName: '(null)'
