Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\program compatibility assistant service
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%PROGRAMDATA%\msmpeng.exe'
Создает и загружает библиотеки (эксплоит)
- %APPDATA%\inquiringly.db
Запускает на исполнение (эксплоит)
- '%WINDIR%\explorer.exe' "%TEMP%\Report_tiecuoi.doc"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\inquiringly.db
- %TEMP%\report_tiecuoi.doc
- %PROGRAMDATA%\mpsvc.dll
- %PROGRAMDATA%\msmpeng.exe
Сетевая активность
Подключается к
- 'fe####.blogdns.com':443
UDP
- DNS ASK fe####.blogdns.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\explorer.exe' "%TEMP%\Report_tiecuoi.doc"' (со скрытым окном)
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\Report_tiecuoi.doc"' (со скрытым окном)
- '%PROGRAMDATA%\msmpeng.exe' ' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\Report_tiecuoi.doc"
- '<SYSTEM32>\taskeng.exe' {AAF75965-6F28-4317-B0E5-EB1C78564480} S-1-5-21-1960123792-2022915161-3775307078-1001:nojzcn\user:Interactive:[1]
