Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\baby] 'ImagePath' = '<SYSTEM32>\PastRXPih.sys'
Создает следующие сервисы
- 'baby' <SYSTEM32>\PastRXPih.sys
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\pastrxpih.sys
- %WINDIR%\internet explorer.exe
- %HOMEPATH%\desktop\internet explorer.lnk
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012023112520231126\index.dat
Удаляет следующие файлы
- %WINDIR%\syswow64\pastrxpih.sys
Сетевая активность
Подключается к
- 'cf##n.com':80
UDP
- DNS ASK cf##n.com
- DNS ASK br###y168.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
