Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Service' = '%TEMP%\Microsoft_Install\services.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Microsoft_Install\services.exe'
Запускает на исполнение:
- '<SYSTEM32>\wermgr.exe' -queuereporting
- '<SYSTEM32>\taskhost.exe' $(Arg0)
Изменения в файловой системе:
Создает следующие файлы:
- C:\ProgramData\Microsoft\RAC\Temp\sql2368.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql2348.tmp
- %TEMP%\Microsoft_Install\services.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\Microsoft_Install\services.exe
Удаляет следующие файлы:
- C:\ProgramData\Microsoft\RAC\Temp\sql2348.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql2368.tmp
Сетевая активность:
Подключается к:
- 'he###.mjw.bz':80
TCP:
Запросы HTTP GET:
- he###.mjw.bz/841484n.txt
- he###.mjw.bz/873355n.txt
- he###.mjw.bz/905305n.txt
- he###.mjw.bz/808958n.txt
- he###.mjw.bz/704282n.txt
- he###.mjw.bz/736480n.txt
- he###.mjw.bz/773499n.txt
Запросы HTTP POST:
- he###.mjw.bz/840470.asp
- he###.mjw.bz/872341.asp
- he###.mjw.bz/904275.asp
- he###.mjw.bz/807944.asp
- he###.mjw.bz/703268.asp
- he###.mjw.bz/735466.asp
- he###.mjw.bz/772267.asp
UDP:
- DNS ASK he###.mjw.bz
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
