Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.exe
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%TEMP%\fttdzvcxxwod.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %TEMP%\fttdzvcxxwod.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\tempfile
- %TEMP%\fttdzvcxxwod.sys
Удаляет следующие файлы
- <Текущая директория>\tempfile
Сетевая активность
Подключается к
- 'pa###bin.com':443
- 'pa####.paulmaney.info':4521
- 'us.##pool.com':13333
- 'pa####.paulmaney.info':3333
TCP
Запросы HTTP POST
- http://pa####.#aulmaney.info:4521/api/endpoint.php via pa####.paulmaney.info
Другие
- 'pa###bin.com':443
- 'us.##pool.com':13333
- 'pa####.paulmaney.info':3333
UDP
- DNS ASK us.##pool.com
- DNS ASK pa###bin.com
- DNS ASK pa####.paulmaney.info
Другое
Создает и запускает на исполнение
- '<Текущая директория>\tempfile'
Запускает на исполнение
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-dc 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-dc 0
- '%WINDIR%\explorer.exe'
