Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\RunDllExe] 'Driver' = '%WINDIR%\Logs\RunDllExe.dll'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Spooler] 'Start' = '00000002'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\logs\rundllexe.dll
- %WINDIR%\syswow64\config\systemprofile\appdata\roaming\microsoft\windows\ietldcache\index.dat
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\mpmgsvc[1].dll
- %WINDIR%\temp\mpmgsvc.dll
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\0ps72r2m\mpmgsvc[1].jpg
- %WINDIR%\temp\mpmgsvc.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'ss#.#62-com.com':25
- 'do##.ftp21.cc':80
TCP
Запросы HTTP GET
- http://do##.ftp21.cc/MpMgSvc.dll
- http://do##.ftp21.cc/MpMgSvc.jpg
UDP
- DNS ASK ss#.#62-com.com
- DNS ASK do##.ftp21.cc
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Start-Sleep -s 2;del "<Полный путь к файлу>"
