Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\mspgsrv\Parameters] 'ServiceDll' = '%HOMEPATH%\Library\mspgsrv.dll'
- [<HKLM>\SYSTEM\ControlSet001\Services\mspgsrv] 'ImagePath' = '<SYSTEM32>\svchost.exe -k mspgsrv'
- [<HKLM>\SYSTEM\ControlSet001\Services\mspgsrv] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mspgsrv\Parameters /v ServiceDll /t REG_EXPAND_SZ /d "%HOMEPATH%\Library\mspgsrv.dll"
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost" /v mspgsrv /t REG_MULTI_SZ /d mspgsrv
- '<SYSTEM32>\cmd.exe' /c %TEMP%\tmp3432.bat
- '<SYSTEM32>\sc.exe' create mspgsrv binPath= "<SYSTEM32>\svchost.exe -k mspgsrv" type= own type= interact start= auto DisplayName= "Microsoft Windows Data Service"
- '<SYSTEM32>\sc.exe' failure mspgsrv reset= 0 actions= restart/5000
- '<SYSTEM32>\sc.exe' description mspgsrv "Microsoft Windows Data Management Service"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp3432.bat
- %HOMEPATH%\Library\mspgsrv.dll
Самоудаляется.
