Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=2500
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=256
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=2456
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=2396
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=2436
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=2580
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=1400
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=808
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=1928
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=1544
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=260
- '%WINDIR%\Fonts\userinit.exe' http://d.##c8.com/xx.exe
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=3964
- '%WINDIR%\Downloaded Program Files\spoolv.exe' http://d.##c8.com/xx.exe
- '%WINDIR%\Fonts\userinit.exe'
- '%WINDIR%\Fonts\conime.exe'
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=4012
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=4084
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=4092
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=4068
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=4036
- '%WINDIR%\Downloaded Program Files\spoolv.exe' /pid=4052
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c c:\DEL.bat
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Downloaded Program Files\spoolv.exe
- C:\DEL.bat
- %WINDIR%\Fonts\conime.exe
- <SYSTEM32>\flzaitian.dll
- %WINDIR%\Fonts\userinit.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '<IP-адрес в локальной сети>':445
