Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\fdSSDPd22] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\MSupdate.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' "%CommonProgramFiles%\Microsoft Shared\MSInfo\fdSSDPd22.dll",Startup
- '<SYSTEM32>\rundll32.exe' "%CommonProgramFiles%\Microsoft Shared\MSInfo\fdSSDPd22.dll",ServiceBoot
- '<SYSTEM32>\wscript.exe' "%TEMP%\6788_7684.vbs" //B //Nologo
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\microsoft shared\MSInfo\RCXD134.tmp
- %CommonProgramFiles%\microsoft shared\MSInfo\fdSSDPd22.dll
- %CommonProgramFiles%\microsoft shared\MSInfo\fdSSDPd22.ini
- <Текущая директория>\<Имя вируса>.hwp
- %TEMP%\6788_7684.vbs
- %TEMP%\RCXCD5C.tmp
- %TEMP%\ёУґПЕхµҐАМ(mt.co.kr)ёрБэ јіёнјё¦.hwp
- %TEMP%\MSupdate.exe
- %TEMP%\opeC995.tmp.bat
- %TEMP%\3662_78e6.dll
- C:\Users\Public\DebugLog.log
Удаляет следующие файлы:
- %TEMP%\3662_78e6.dll
- %CommonProgramFiles%\microsoft shared\MSInfo\fdSSDPd22.ini
- %TEMP%\6788_7684.vbs
- %TEMP%\MSupdate.exe
Перемещает следующие файлы:
- %CommonProgramFiles%\microsoft shared\MSInfo\RCXD134.tmp в %CommonProgramFiles%\microsoft shared\MSInfo\fdSSDPd22.dll
- %TEMP%\RCXCD5C.tmp в %TEMP%\3662_78e6.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'dl#.#ast8900.us':443
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK dl#.#ast8900.us
