Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Fn service] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\filepds\pdscnt.exe ins
- %APPDATA%\filepds\pdssvc.exe -s
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c \DelUS.bat
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\filepds\uninst.exe
- %TEMP%\nsb2.tmp\SelfDelete.dll
- C:\DelUS.bat
- %APPDATA%\filepds\pdsup.exe
- %APPDATA%\filepds\pdscnt.exe
- %APPDATA%\filepds\pdssvc.exe
Удаляет следующие файлы:
- %TEMP%\nsb2.tmp\SelfDelete.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.mo###ell.com':80
TCP:
Запросы HTTP GET:
- www.mo###ell.com/v2/log/install.php?ma############################
UDP:
- DNS ASK www.mo###ell.com
- '<IP-адрес в локальной сети>':1035
