Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'TCP Service' = '%PROGRAM_FILES%\TCP Service\tcpsv.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'sidebar' = '%APPDATA%\Roaming\Sample.lnk'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /create /f /tn "TCP Service Task" /xml "%TEMP%\tmp18AF.tmp"
- '<SYSTEM32>\schtasks.exe' /create /f /tn "TCP Service" /xml "%TEMP%\tmp15FF.tmp"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Tasks\TCP Service
- %TEMP%\tmp15FF.tmp
- %PROGRAM_FILES%\TCP Service\tcpsv.exe
- <SYSTEM32>\Tasks\TCP Service Task
- %TEMP%\tmp18AF.tmp
- %APPDATA%\Roaming\FDAAD129-04DF-4089-BB80-174CE725F721\task.dat
- %APPDATA%\Roaming\FDAAD129-04DF-4089-BB80-174CE725F721\run.dat
- %TEMP%\CabC939.tmp
- %TEMP%\TarC8AC.tmp
- %TEMP%\CabC8AB.tmp
- %APPDATA%\Roaming\Tp\boxz.exe
- %APPDATA%\Roaming\Sample.lnk
- %TEMP%\TarC93A.tmp
Удаляет следующие файлы:
- %TEMP%\TarC93A.tmp
- %TEMP%\tmp15FF.tmp
- %TEMP%\tmp18AF.tmp
- %TEMP%\CabC8AB.tmp
- %TEMP%\TarC8AC.tmp
- %TEMP%\CabC939.tmp
Сетевая активность:
Подключается к:
- '21#.#08.152.200':4033
- 'www.download.windowsupdate.com':80
TCP:
Запросы HTTP GET:
- www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK www.download.windowsupdate.com
