Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'mssvc32' = '%APPDATA%\mssvc32.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\mssvc32.exe' /run
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "mssvc32" /t REG_SZ /d "%APPDATA%\mssvc32.exe" /f
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\mssvc32.exe /clean "<Полный путь к вирусу>"
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\mssvc32.exe /clean <Полный путь к вирусу>
- '<SYSTEM32>\cmd.exe' /C %APPDATA%\mssvc32.exe /run
- '<SYSTEM32>\cmd.exe' /C copy "<Полный путь к вирусу>" "%APPDATA%\mssvc32.exe"
- '<SYSTEM32>\cmd.exe' /C reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "mssvc32" /t REG_SZ /d "%APPDATA%\mssvc32.exe" /f
- '<SYSTEM32>\cmd.exe' /C "%APPDATA%\mssvc32.exe" /run
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\mssvc32.dat
- %APPDATA%\mssvc32.exe
Сетевая активность:
Подключается к:
- '92.#3.88.89':80
- 'localhost':8165
- 'localhost':1804
TCP:
Запросы HTTP GET:
- http://92.#3.88.89/updatevvv3.php?a=#############################################################################################################################################################...
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
