Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\5555555] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- C:\360safe.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c <Текущая директория>\system2.bat
- <SYSTEM32>\net1.exe start "5555555"
- <SYSTEM32>\sc.exe Create "5555555" type= own type= interact start= auto DisplayName= "55555555" binPath= "cmd.exe /c start "\360safe.exe"
- <SYSTEM32>\sc.exe description "5555555" Из№ы·юОсНЈЦ№Ј¬ґу¶аКэ»щУЪ COM+ ЧйјюЅ«І»ДЬХэіЈ№¤ЧчЎЈИз№ы±ѕ·юОс±»ЅыУГЈ¬ИОєОГчИ·ТААµЛьµД·юОс¶јЅ«І»ДЬЖф¶ЇЎЈ
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\E_N4\eAPI.fne
- %WINDIR%\Temp\E_N4\krnln.fnr
- <Текущая директория>\system2.bat
- %WINDIR%\Temp\E_N4\Exmlrpc.fne
- %WINDIR%\Temp\E_N4\spec.fne
- %WINDIR%\Temp\E_N4\dp1.fne
- %WINDIR%\Temp\E_N4\EThread.fne
- %TEMP%\E_N4\Exmlrpc.fne
- %TEMP%\E_N4\eAPI.fne
- %TEMP%\E_N4\krnln.fnr
- %TEMP%\E_N4\EThread.fne
- C:\360safe.exe
- %TEMP%\E_N4\spec.fne
- %TEMP%\E_N4\dp1.fne
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\360safe.exe
Сетевая активность:
Подключается к:
- '10.##3.155.151':10086
