Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Windows Test My Test svchose 4.0Windows Test My Test svchose 4.0] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\svchest.exe'
- '<Текущая директория>\ёЁЦъ№э·З·ЁІејю1.0.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\ёЁЦъ№э·З·ЁІејю1.0.exe
- <SYSTEM32>\svchest.exe
- <SYSTEM32>\PastPUQz0.sys
- <SYSTEM32>\BackInC.sys
Удаляет следующие файлы:
- <Текущая директория>\ёЁЦъ№э·З·ЁІејю1.0.exe
- <SYSTEM32>\BackInC.sys
- <SYSTEM32>\PastPUQz0.sys
Сетевая активность:
Подключается к:
- 'cc#.#kdh.org':2012
- 'any':2012
- '21#.#5.30.196':2013
- 'a0#####23.blog.163.com':80
TCP:
Запросы HTTP GET:
- a0#####23.blog.163.com/blog/static/21686601520131130058206/
UDP:
- DNS ASK cc#.#kdh.org
- DNS ASK a0#####23.blog.163.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
