Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\pudnfsijg
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' ..\copr.rsgs,DllRegisterServer
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\copr.rsgs
Сетевая активность
TCP
Запросы HTTP GET
- http://ss##l.org/ds/1712.gif
UDP
- DNS ASK ss##l.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' ..\copr.rsgs,DllRegisterServer' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /RU "NT AUTHORITY\SYSTEM" /tn pudnfsijg /tr "regsvr32.exe -s \"%HOMEPATH%\copr.rsgs\"" /SC ONCE /Z /ST 09:44 /ET 09:56' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' -s "%HOMEPATH%\copr.rsgs"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\syswow64\schtasks.exe' /Create /RU "NT AUTHORITY\SYSTEM" /tn pudnfsijg /tr "regsvr32.exe -s \"%HOMEPATH%\copr.rsgs\"" /SC ONCE /Z /ST 09:44 /ET 09:56
- '<SYSTEM32>\regsvr32.exe' -s "%HOMEPATH%\copr.rsgs"
