Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\baby] 'ImagePath' = '<SYSTEM32>\PastgooZ3.sys'
Создает следующие сервисы
- 'baby' <SYSTEM32>\PastgooZ3.sys
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\pastgooz3.sys
- %WINDIR%\internet explorer.exe
- %HOMEPATH%\desktop\internet explorer.lnk
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\0y9o17dr\dnserrordiagoff_weboc[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\bm8skz0v\errorpagetemplate[1]
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
Удаляет следующие файлы
- %WINDIR%\syswow64\pastgooz3.sys
Сетевая активность
Подключается к
- 'cf##n.com':80
TCP
Запросы HTTP GET
- http://cf##n.com/aa.htm
UDP
- DNS ASK cf##n.com
- DNS ASK br###y168.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
