Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'مستودعReg' = '"<Полный путь к файлу>"'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\مستودعfile\مستودعAdobe.EXE
- %APPDATA%\23EF5514-3059-436F-A4A7-4CEFAAB20EB1\run.dat
Удаляет следующие файлы:
- %APPDATA%\مستودعfile\مستودعAdobe.EXE
Подменяет следующие файлы:
- %APPDATA%\مستودعfile\مستودعAdobe.EXE
Сетевая активность:
Подключается к:
- 'wp#d':80
- 'cr#.##obalsign.net':80
- 'ba####n45.pdns.cz':4003
TCP:
Запросы HTTP GET:
- http://11#.#11.111.1/wpad.dat via wp#d
- http://cr#.##obalsign.net/Root.crl
- http://cr#.##obalsign.net/primobject.crl
- http://cr#.##obalsign.net/ObjectSign.crl
UDP:
- DNS ASK wp#d
- DNS ASK cr#.##obalsign.net
- DNS ASK ba####n45.pdns.cz
- DNS ASK ba##zam.xyz
Другое:
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe' /logtoconsole=false /logfile= /u "<Полный путь к файлу>"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe'
