Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\srservice] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\wscp.exe <SYSTEM32>\4ad9271a261d13f95a544a3aad855f67.vbs //B <SYSTEM32>\srservice.vbs
- %TEMP%\<Имя вируса>.exe
- <SYSTEM32>\srservice.exe move a9d934b765c1e416e6efd34ee7f54a6a <Имя вируса>.exe JD2.5.5.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\drivetable.txt
- %TEMP%\<Имя вируса>.exe
- <SYSTEM32>\pandora.pid
- <SYSTEM32>\4ad9271a261d13f95a544a3aad855f67.vbs
- %TEMP%\a9d934b765c1e416e6efd34ee7f54a6a
- <SYSTEM32>\srservice.exe
- <SYSTEM32>\srservice.vbs
- <SYSTEM32>\wscp.exe
Удаляет следующие файлы:
- <SYSTEM32>\4ad9271a261d13f95a544a3aad855f67.vbs
- %TEMP%\a9d934b765c1e416e6efd34ee7f54a6a
Сетевая активность:
Подключается к:
- 'www.s1##4.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- www.s1##4.com/a/hello/index.html
UDP:
- DNS ASK www.s1##4.com
- '<IP-адрес в локальной сети>':1037
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
