Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WZCSVCSys] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe' -k netsvcs
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Com\svchost.exe
- %ALLUSERSPROFILE%\Application Data\Mozilla\UV9FXlFbb1NfWVQPBg.bin
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\Com\svchost.exe
- %ALLUSERSPROFILE%\Application Data\Mozilla\UV9FXlFbb1NfWVQPBg.bin
Сетевая активность:
Подключается к:
- '91.##7.60.111':80
TCP:
Запросы HTTP GET:
- 91.##7.60.111/QBsBfGBv6Du7hb5I0Vcah-aR5z7NINP5k9GrIT7dEUZazTP3toJkEOYfu.hrwcRMAEeDftLMywIWos4gtes7etE7c3t.kl7Vgu/2aaVyDcRKf14TJGVcothaHod9piYxp3PtZV-QO.html
Запросы HTTP POST:
- 91.##7.60.111/SzDTKtHcRv3tO6LjdDkCmJCNZGEEwFIUEqWKGzdzZaSsG/LpbmNS5ZK1weZ7YmyZeAFXePJ3D2NXI-yRlPexJ-FOUh9TWoZ0nlnwbOMs6r0CC-4LCKgzPWfjXZBnWidQD30YXCjRlhOFpE7WXXXD.5tUs01ElTEaUJ0DyNzZr.shtml
- 91.##7.60.111/LhCHcSTPoRMyJlVfh7Bc80I5t--q0z9IYw6iIUXZPIluU8xs5b-w-SDAE81BPjynmDDL/9rZGLIrV9i7xszlPMW50sIQ3rKjpRh7k0GUKGkYyMx95A7K1NAbYrKJGOksf4vr0R0nl.OiViXhGYVytzwqgeTc4nEa2x2QetJSi.jpg
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
