Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\1b7fb] 'Name' = '%TEMP%\1.tmp'
Вредоносные функции:
Создает и запускает на исполнение:
- %ALLUSERSPROFILE%\Application Data\defender.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Desktop\Malware Protection.lnk
- %TEMP%\1.tmp
- %ALLUSERSPROFILE%\Application Data\defender
Сетевая активность:
Подключается к:
- 'do####ad4clean.com':80
TCP:
Запросы HTTP GET:
- do####ad4clean.com/404.php?id###
UDP:
- DNS ASK do####ad4clean.com
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
