Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\srservice] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\srservice.exe
- <SYSTEM32>\wscp.exe <SYSTEM32>\f9c5d3df84f48502d03492792b27ed95.vbs //B
- <SYSTEM32>\srservice.exe exec
- <SYSTEM32>\srservice.exe move c283703b37c1352c758a140b71dc8f38 <Имя вируса>.exe dck.exe
- %TEMP%\<Имя вируса>.exe
- <SYSTEM32>\wscp.exe <SYSTEM32>\srservice.vbs
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\369aa.tmp
- %TEMP%\3642b.tmp
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\drivetable.txt
- <SYSTEM32>\pandora.pid
- <SYSTEM32>\f9c5d3df84f48502d03492792b27ed95.vbs
- %TEMP%\35e4e.tmp
- %TEMP%\c283703b37c1352c758a140b71dc8f38
- <SYSTEM32>\srservice.exe
- <SYSTEM32>\wscp.exe
- %TEMP%\<Имя вируса>.exe
- <SYSTEM32>\srservice.vbs
Удаляет следующие файлы:
- %TEMP%\369aa.tmp
- <SYSTEM32>\f9c5d3df84f48502d03492792b27ed95.vbs
- %TEMP%\3642b.tmp
- %TEMP%\c283703b37c1352c758a140b71dc8f38
- %TEMP%\35e4e.tmp
Сетевая активность:
Подключается к:
- 'sr.##azoe.cn':80
- 'www.ka###u.bj.cn':80
TCP:
Запросы HTTP GET:
- sr.##azoe.cn/v3003/s.php?si########################################################################################################
- www.ka###u.bj.cn/v3003/s.php?si########################################################################################################
UDP:
- DNS ASK sr.##azoe.cn
- DNS ASK www.ka###u.bj.cn
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
