Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'rundpub' = '%APPDATA%\SoftwareProtection\spps.exe'
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\spsrv] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\spsrv] 'ImagePath' = '<SYSTEM32>\sppsrv.exe -k'
Создает следующие сервисы
- 'spsrv' <SYSTEM32>\sppsrv.exe -k
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\softwareprotection\spps.exe
- %WINDIR%\syswow64\sppsrv.exe
- %TEMP%\~8584.tmp
- %TEMP%\~8621.tmp
- %TEMP%\~8882.tmp
- %TEMP%\~897d.tmp
- %TEMP%\~8a44.tmp
- %WINDIR%\temp\~8a73.tmp
Удаляет следующие файлы
- %TEMP%\~8584.tmp
- %TEMP%\~8621.tmp
- %TEMP%\~8882.tmp
- %WINDIR%\temp\~8a73.tmp
- %TEMP%\~8a44.tmp
- %TEMP%\~897d.tmp
Другое
Создает и запускает на исполнение
- '%APPDATA%\softwareprotection\spps.exe'
- '%WINDIR%\syswow64\sppsrv.exe' -k
- '%TEMP%\~8584.tmp' 108040 2528 2
- '%TEMP%\~8621.tmp' 108040 2528 5
- '%TEMP%\~8882.tmp' 108040 2528 4
- '%TEMP%\~897d.tmp' 108040 2528 5
- '%TEMP%\~8a44.tmp' 108040 964 5
- '%WINDIR%\temp\~8a73.tmp' 108040 2388 5
