Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\stisvc] 'Start' = '00000002'
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\wiaservc.dll файлом %TEMP%\30386.exe
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\svchost.exe -k imgsvc
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\30386.exe
Перемещает следующие системные файлы:
- <SYSTEM32>\wiaservc.dll в <SYSTEM32>\wiaservc.dll.bak
Сетевая активность:
Подключается к:
- '69.##7.132.130':8992
