Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\ServiceHelp] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\ServiceHelp] 'ImagePath' = '<SYSTEM32>\svchost.exe -k ServiceGroupEx'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\ServiceHelp\Parameters\] 'ServiceDll' = '%WINDIR%\SvcHelp.dll'
Создает следующие сервисы
- 'ServiceHelp' <SYSTEM32>\svchost.exe -k ServiceGroupEx
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\svchelp.dll
- %WINDIR%\svcdate.exe
- %WINDIR%\help.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\svcdate.exe
Удаляет следующие файлы
- %WINDIR%\svchelp.dll
Подменяет следующие файлы
- %WINDIR%\svchelp.dll
Сетевая активность
Подключается к
- 'he##.88us.cc':5058
- 'ud.##u456.top':80
- 'he##.88us.cc':80
- '1.##us.cc':5059
TCP
Запросы HTTP GET
- http://ud.##u456.top/SvcDate.exe
- http://ud.##u456.top/help.exe
- http://ud.##u456.top/SvcHelp.dll
Другие
- 'he##.88us.cc':5058
UDP
- DNS ASK he##.88us.cc
- DNS ASK ud.##u456.top
- DNS ASK 1.##us.cc
Другое
Создает и запускает на исполнение
- '%WINDIR%\svcdate.exe'
- '%WINDIR%\help.exe'
- '%WINDIR%\syswow64\net.exe' start ServiceHelp' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del %WINDIR%\SvcDate.exe' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' start ServiceHelp
- '%WINDIR%\syswow64\net1.exe' start ServiceHelp
- '%WINDIR%\syswow64\svchost.exe' -k ServiceGroupEx
- '%WINDIR%\syswow64\cmd.exe' /c del %WINDIR%\SvcDate.exe
