Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'fa280178bd55348ab39c6738d80c9542' = '"%APPDATA%\servsss.exe" ..'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'fa280178bd55348ab39c6738d80c9542' = '"%APPDATA%\servsss.exe" ..'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%APPDATA%\servsss.exe" "servsss.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\firefox_installer.exe
- %APPDATA%\google.exe
- %TEMP%\7zs8a439e50\setup-stub.exe
- %TEMP%\7zs8a439e50\postsigningdata
- %TEMP%\nsv8408.tmp\system.dll
- %TEMP%\nsv8408.tmp\uac.dll
- %TEMP%\nsv8408.tmp\userinfo.dll
- %TEMP%\nsv8408.tmp\bgstub.jpg
- %TEMP%\nsv8408.tmp\bgstub_2x.jpg
- %TEMP%\nsv8408.tmp\cityhash.dll
- %TEMP%\nsv8408.tmp\nsdialogs.dll
- %TEMP%\nsv8408.tmp\inetbgdl.dll
- %APPDATA%\servsss.exe
- %TEMP%\nsv8408.tmp\download.exe
Сетевая активность
Подключается к
- 'go######rcpics16.ddns.net':2222
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK go######rcpics16.ddns.net
- DNS ASK microsoft.com
- DNS ASK do########nstaller.cdn.mozilla.net
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\firefox_installer.exe'
- '%APPDATA%\google.exe'
- '%TEMP%\7zs8a439e50\setup-stub.exe'
- '%APPDATA%\servsss.exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%APPDATA%\servsss.exe" "servsss.exe" ENABLE' (со скрытым окном)
