Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\csrvc\BSOD.exe'
- '%TEMP%\csrvc\BSOD.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' config "csrvc" type= interact type= own
- '%ProgramFiles%\Internet Explorer\IEXPLORE.EXE' http://go.##clasrv.com/afu.php?id########
- '<SYSTEM32>\sc.exe' config "csrvc" start=auto
- '<SYSTEM32>\sc.exe' failure "csrvc" reset= 0 actions= restart/60000
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\csrvc\csrvc.exe
- %TEMP%\csrvc\BSOD.exe
Сетевая активность:
Подключается к:
- '18#.#0.133.109':139
- '18#.#0.133.109':445
- 'go.##clasrv.com':80
- 'localhost':1065
- '18#.#0.133.109':1433
- 'hi####novation.com':80
- 'wp#d':80
- 'fr###eoip.net':80
- 'ip##fo.io':80
TCP:
Запросы HTTP GET:
- http://ip##fo.io/ip
- http://fr###eoip.net/xml
- http://go.##clasrv.com/afu.php?id########
- http://11#.#11.111.1/wpad.dat via wp#d
- http://hi####novation.com/Downloads/Files/BSOD.exe
- http://hi####novation.com/Downloads/Files/csrvc.exe
UDP:
- DNS ASK fr###eoip.net
- DNS ASK go.##clasrv.com
- DNS ASK ip##fo.io
- DNS ASK wp#d
- DNS ASK hi####novation.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: '' WindowName: ''
