Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\Orbiter] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Orbiter] 'ImagePath' = '<SYSTEM32>\svchost.exe -k ORBTR'
- [<HKLM>\SYSTEM\CurrentControlSet\services\Orbiter\Parameters] 'ServiceDll' = 'C:/Program Files (x86)/ORBTR/orbiter.dll'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nspec22.tmp\system.dll
- %TEMP%\nspec22.tmp\orbitertool.dll
- %TEMP%\nspec22.tmp\inetc.dll
- %ProgramFiles(x86)%\orbtr\orbiter.dll
- %ProgramFiles(x86)%\orbtr\uninstall.exe
- %ProgramFiles(x86)%\orbtr\orbt.ext
- %WINDIR%\temp\nsq4723.tmp\detectortool.dll
- %WINDIR%\temp\6402.tmp
- %WINDIR%\temp\nsq4723.tmp\inetc.dll
Удаляет следующие файлы
- %TEMP%\nspec22.tmp\inetc.dll
- %TEMP%\nspec22.tmp\orbitertool.dll
- %TEMP%\nspec22.tmp\system.dll
- %WINDIR%\temp\6402.tmp
- %WINDIR%\temp\nsq4723.tmp\detectortool.dll
- %WINDIR%\temp\nsq4723.tmp\inetc.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://sp######rage.spccint.com/Detection/Detection.json
- http://sp######rage.spccint.com/Detection/SPDetector.exe
UDP
- DNS ASK or#######taller.databssint.com
- DNS ASK or#######ve-msg.databssint.com
- DNS ASK sp######rage.spccint.com
- DNS ASK Se####.conduit.com
- DNS ASK la#.###rch.conduit.com
- DNS ASK tr##i.com
- DNS ASK la#.#rovi.com
- DNS ASK gu####search.com
- DNS ASK la#.###rd-search.com
- DNS ASK tr##igo.com
- DNS ASK se####.next-search.net
- DNS ASK st###.#weetpacks.com
- DNS ASK or#######ection.databssint.com
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\orbtr\orbt.ext' -orbtrver=1.0.2.6 -orbtrid=B45014A5-FDD0-4AB8-ACFE-56F3190606BA -sessionid=unknown_isid -carrier_id=unknown_CTID -stage=install "-trigger=Periodic"
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' -k ORBTR
