Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\Microsoft Service] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Microsoft Service] 'ImagePath' = '%WINDIR%\SysWOW64\service.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\service.exe
- %WINDIR%\syswow64\svshost.exe
- <Текущая директория>\skinh_el.dll
- agmkis2
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\skinh_el.dll
Сетевая активность
Подключается к
- 'ip.##totoo.com':923
TCP
Запросы HTTP GET
- http://un##wn.net/server/FreeAccount.html
UDP
- DNS ASK un##wn.net
- DNS ASK st##.unkown.net
- DNS ASK ip.##totoo.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\service.exe'
- '%WINDIR%\syswow64\svshost.exe'
- '%WINDIR%\syswow64\service.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\svshost.exe' ' (со скрытым окном)
