Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\system-1185576] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\system-1185576] 'ImagePath' = '"%ProgramFiles(x86)%\pcawhere\thinprobe.exe"'
- [<HKLM>\System\CurrentControlSet\Services\pcAnywhere] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\pcAnywhere] 'ImagePath' = '"%ProgramFiles(x86)%\pcawhere\thinprobe.exe"'
Создает следующие сервисы
- 'system-1185576' "%ProgramFiles(x86)%\pcawhere\thinprobe.exe"
- 'system-1185576' %ProgramFiles(x86)%\pcawhere\thinprobe.exe
- 'pcAnywhere' "%ProgramFiles(x86)%\pcawhere\thinprobe.exe"
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7z22df5218\thumb.db
- %TEMP%\7z22df5218\thinprobe.exe
- %TEMP%\7z22df5218\thinhostprobedll.dll
- %ProgramFiles(x86)%\pcawhere\config.ini
Перемещает следующие файлы
- %TEMP%\7z22df5218\thinprobe.exe в %ProgramFiles(x86)%\pcawhere\thinprobe.exe
- %TEMP%\7z22df5218\thinhostprobedll.dll в %ProgramFiles(x86)%\pcawhere\thinhostprobedll.dll
- %TEMP%\7z22df5218\thumb.db в %ProgramFiles(x86)%\pcawhere\thumb.db
Самоудаляется.
Сетевая активность
Подключается к
- '13#.#80.208.225':443
- 'sk####ndonesia.com':443
TCP
Другие
- '13#.#80.208.225':443
- 'sk####ndonesia.com':443
UDP
- DNS ASK sk####ndonesia.com
Другое
Создает и запускает на исполнение
- '%TEMP%\7z22df5218\thinprobe.exe'
- '%ProgramFiles(x86)%\pcawhere\thinprobe.exe'
- '%WINDIR%\syswow64\svchost.exe' -daemon' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' -daemon
