Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WsysSvc] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\Application Data\eSafe\eGdpSvc.exe'
- '%ALLUSERSPROFILE%\Application Data\eSafe\eGdpSvc.exe' -run
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\eSafe\eGdpSvc.exe
- %ALLUSERSPROFILE%\Application Data\eSafe\log\eGdpSvc.LOG
- %APPDATA%\eUpdate\0D1C4AEF5229452186AB25FB5285A35D\config.ini
- %APPDATA%\eUpdate\0D1C4AEF5229452186AB25FB5285A35D\eSafe\eGdpSvc.exe
Удаляет следующие файлы:
- %APPDATA%\eUpdate\0D1C4AEF5229452186AB25FB5285A35D\eSafe\eGdpSvc.exe
- %APPDATA%\eUpdate\0D1C4AEF5229452186AB25FB5285A35D\config.ini
Самоудаляется.
Сетевая активность:
Подключается к:
- 'up.##ft365.com':80
- 'xa.###gcloud.com':80
TCP:
Запросы HTTP GET:
- up.##ft365.com/gdp/softupdate?pt#########################################################################################
- xa.###gcloud.com/v4/sof-newgdp/<Служебное имя>X<Служебное имя>XIDEXHardXDrive_11000000000000000001?ac##############################################################
- xa.###gcloud.com/v4/sof-newgdp/<Служебное имя>X<Служебное имя>XIDEXHardXDrive_11000000000000000001?ac########################
- xa.###gcloud.com/v4/sof-newgdp/<Служебное имя>X<Служебное имя>XIDEXHardXDrive_11000000000000000001?ac#######################################################################################################
UDP:
- DNS ASK up.##ft365.com
- DNS ASK xa.###gcloud.com
