Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices] 'System Database Administration Service' = '<SYSTEM32>\DbTasker.exe'
Заражает следующие исполняемые файлы
- C:\far2\far.exe
- C:\msocache\all users\{90140000-0011-0000-1000-0000000ff1ce}-c\ose.exe
- C:\msocache\all users\{90140000-0011-0000-1000-0000000ff1ce}-c\setup.exe
- C:\msocache\all users\{90140000-0115-0409-1000-0000000ff1ce}-c\dw20.exe
- C:\msocache\all users\{90140000-0115-0409-1000-0000000ff1ce}-c\dwtrig20.exe
- %ProgramFiles%\360tray\360tray.exe
- %ProgramFiles%\a2cmd\a2cmd.exe
- %ProgramFiles%\a2guard\a2guard.exe
- %ProgramFiles%\a2hijackfree\a2hijackfree.exe
- %ProgramFiles%\a2scan\a2scan.exe
- %ProgramFiles%\a2service\a2service.exe
- %ProgramFiles%\a2start\a2start.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\dbtasker.exe
- %WINDIR%\syswow64\hal.dll
- %WINDIR%\syswow64\dbtask.exe
- %WINDIR%\wintask.zip
- %WINDIR%\syswow64\dbzip2.dll
- %TEMP%\wkw4d2.tmp
- %WINDIR%\syswow64\dbexe2.dll
Сетевая активность
UDP
- DNS ASK cr#######ndstechnologies.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Windows Task Manager'
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 2 "<Полный путь к файлу>"
