Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\AppMgmt] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\bFVgTfYPK] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\pwdUNeWNvB] 'Start' = '00000002'
Заражает следующие исполняемые системные файлы:
- <SYSTEM32>\appmgmts.dll
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\bFVgTfYPK.sys
- %WINDIR%\Temp\37264126.tmp
- %WINDIR%\Temp\36AF1D11.tmp
- C:\Documents and Settings\Infortmp.txt
- <SYSTEM32>\54220594.tmp
- <SYSTEM32>\pwdUNeWNvB.sys
Удаляет следующие файлы:
- %WINDIR%\Temp\37264126.tmp
- %WINDIR%\Temp\36AF1D11.tmp
- <SYSTEM32>\pwdUNeWNvB.sys
- C:\Documents and Settings\Infortmp.txt
- <SYSTEM32>\54220594.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'go.###i8765ds.info':799
- '10#.#4.183.47':799
- '11#.#38.237.83':799
- 'p.###456.com':75
- 'ts.##ss520.com':799
UDP:
- DNS ASK ts.##ss520.com
- DNS ASK go.###i8765ds.info
- DNS ASK www.ba##u.com
- DNS ASK p.###456.com
