Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\NWCWorkstation\Parameters] 'ServiceDll' = '<SYSTEM32>\msdllsvc.dll'
- [<HKLM>\SYSTEM\ControlSet001\Services\NWCWorkstation] 'ImagePath' = '<SYSTEM32>\svchost.exe -k netsvcs'
- [<HKLM>\SYSTEM\ControlSet001\Services\NWCWorkstation] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' start SelectSrvc
- '<SYSTEM32>\net.exe' start SelectSrvc
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 5
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 -n 5&cmd.exe /c del "%HOMEPATH%\Favorites\240046_res.exe"
- '<SYSTEM32>\expand.exe' "<SYSTEM32>\msdllsvc.dll.back.bak" "<SYSTEM32>\msdllsvc.dll.back.pack"
- '<SYSTEM32>\ipconfig.exe'
- '<SYSTEM32>\sc.exe' failure NWCWorkstation reset= 0 actions= restart/0
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\msdllsvc.dll Install
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\msdllsvc.dll.back.pack
- <SYSTEM32>\msdllsvc.dll
- %WINDIR%\debug.log
- %WINDIR%\check9600.txt
- <SYSTEM32>\msdllsvc.dll.back
- <SYSTEM32>\msdllsvc.dll.back.bak
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\msdllsvc.dll
Удаляет следующие файлы:
- <SYSTEM32>\msdllsvc.dll.back
- <SYSTEM32>\msdllsvc.dll.back.bak
- %WINDIR%\check9600.txt
Перемещает следующие файлы:
- <SYSTEM32>\msdllsvc.dll.back.pack в <SYSTEM32>\msdllsvc.dll
Самоперемещается:
- из <Полный путь к файлу> в %HOMEPATH%\Favorites\240046_res.exe
Сетевая активность:
Подключается к:
- '12#.#0.84.80':80
- '12#.#0.84.80':443
- '12#.#0.84.80':53
- '12#.#0.84.80':21
- '12#.#0.84.80':25
