Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\wstimesvc] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c %TEMP%\ud.bat
- '<SYSTEM32>\svchost.exe' -k netsvcs
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\029666E0.TMP
- %TEMP%\ud.bat
- <SYSTEM32>\wstimesvc.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ga###amu.co.kr':80
- '31####tion.co.kr':80
TCP:
Запросы HTTP POST:
- ga###amu.co.kr/gagunamu/wizboard/skin/bbq/layout.php
- 31####tion.co.kr/wizboard/skin/bbq/layout.php
UDP:
- DNS ASK ga###amu.co.kr
- DNS ASK 31####tion.co.kr
