Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\srvPlgProtect] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\okitspace\protect\PluginProtect.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\okitspace\protect\sqlite3.exe
- %APPDATA%\okitspace\protect\Newtonsoft.Json.dll
- %APPDATA%\okitspace\protect\utilsDll.dll
- %APPDATA%\okitspace\uninstallkit.exe
- %APPDATA%\okitspace\protect\config.xml
- %TEMP%\nsf2.tmp\registry.dll
- %TEMP%\nsf2.tmp\SimpleSC.dll
- %TEMP%\nsf2.tmp\utils.dll
- %APPDATA%\okitspace\protect\Interop.Shell32.dll
- %APPDATA%\okitspace\protect\PluginProtect.exe
Удаляет следующие файлы:
- %TEMP%\nsf2.tmp\utils.dll
- %TEMP%\nsf2.tmp\SimpleSC.dll
- %TEMP%\nsf2.tmp\registry.dll
Сетевая активность:
Подключается к:
- 'st###.okitspace.com':443
UDP:
- DNS ASK st###.okitspace.com
