Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\baby] 'ImagePath' = '<SYSTEM32>\PastILu8E.sys'
- [HKLM\System\CurrentControlSet\Services\ialdnwxf] 'ImagePath' = '<Текущая директория>\superec.ProcessMemory.sys'
Создает следующие сервисы
- 'baby' <SYSTEM32>\PastILu8E.sys
- 'ialdnwxf' <Текущая директория>\\superec.ProcessMemory.sys
- 'ialdnwxf' <Текущая директория>\superec.ProcessMemory.sys
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\pastilu8e.sys
- <Текущая директория>\superec.processmemory.sys
- %WINDIR%\temp\udd7178.tmp
- %WINDIR%\internet explorer.exe
- %HOMEPATH%\desktop\internet explorer.lnk
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012023112320231124\index.dat
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
Удаляет следующие файлы
- %WINDIR%\syswow64\pastilu8e.sys
- %WINDIR%\temp\udd7178.tmp
Сетевая активность
Подключается к
- 'cf##n.com':80
UDP
- DNS ASK cf##n.com
- DNS ASK br###y168.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
