Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\javatmsup] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\schdpdb.exe' 3cs
- '<SYSTEM32>\tapiapi.exe' local system
Запускает на исполнение:
- '<SYSTEM32>\taskeng.exe' {6E5A99F5-0697-4169-AAC9-0799103D84A7} S-1-5-18:NT AUTHORITY\System:Service:
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Tasks\Microsoft\Windows\Media Center\PBDARegisterSW
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\6P5SDOMI\dbconfig[1].php
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YF7T7AK2\dbconfig[1].php
- <SYSTEM32>\schdpdb.exe
- <SYSTEM32>\nturl.exe
- %TEMP%\323b9b99-1f18-4116-ab1f-197e2abe015a
- <SYSTEM32>\tapiapi.exe
Перемещает следующие файлы:
- %TEMP%\323b9b99-1f18-4116-ab1f-197e2abe015a в %TEMP%\wdmcpl.exe
Сетевая активность:
Подключается к:
- '18#.#16.32.164':80
- 'localhost':52754
- '18#.#16.32.164':21
TCP:
Запросы HTTP GET:
- 18#.#16.32.164/cms_include/dbconfig.php?m&###################################################################################################################
UDP:
- DNS ASK dn#.##ftncsi.com
