Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\DNSSupport] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\DbSecuritySpt] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\Windows Media Player\DNSProtection.exe'
- '%PROGRAM_FILES%\Windows Media Player\DNSSupport.exe'
- '%PROGRAM_FILES%\DbSecuritySpt\DbSecuritySpt.exe'
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /F /IM Bill.exe
- '<SYSTEM32>\taskkill.exe' /F /IM svch0st.exe
- '<SYSTEM32>\taskkill.exe' /F /IM DbSecuritySpt.exe
- '<SYSTEM32>\taskkill.exe' /F /IM DNSProtection.exe
- '<SYSTEM32>\taskkill.exe' /F /IM DNSClient.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\WER006b.dir00\DNSProtection.exe.mdmp
- %PROGRAM_FILES%\Windows Media Player\DNSSupport.exe
- %TEMP%\WER006b.dir00\DNSProtection.exe.hdmp
- %TEMP%\WER006b.dir00\manifest.txt
- %TEMP%\WER006b.dir00\appcompat.txt
- %PROGRAM_FILES%\DbSecuritySpt\svch0st.exe
- %PROGRAM_FILES%\DbSecuritySpt\DbSecuritySpt.exe
- %PROGRAM_FILES%\Windows Media Player\agony.exe
- %PROGRAM_FILES%\Windows Media Player\DNSProtection.exe
- %PROGRAM_FILES%\Windows Media Player\agony.sys
Сетевая активность:
Подключается к:
- '18#.#36.216.101':36000
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
