Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\innyorfzk
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' ..\copr.rsgs,DllRegisterServer
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\copr.rsgs
Сетевая активность
TCP
Запросы HTTP GET
- http://fo##sah.com/ds/1712.gif
UDP
- DNS ASK fo##sah.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' ..\copr.rsgs,DllRegisterServer' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /RU "NT AUTHORITY\SYSTEM" /tn innyorfzk /tr "regsvr32.exe -s \"%HOMEPATH%\copr.rsgs\"" /SC ONCE /Z /ST 18:27 /ET 18:39' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' -s "%HOMEPATH%\copr.rsgs"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\syswow64\schtasks.exe' /Create /RU "NT AUTHORITY\SYSTEM" /tn innyorfzk /tr "regsvr32.exe -s \"%HOMEPATH%\copr.rsgs\"" /SC ONCE /Z /ST 18:27 /ET 18:39
- '<SYSTEM32>\regsvr32.exe' -s "%HOMEPATH%\copr.rsgs"
