Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'svchost' = '%APPDATA%\Microsoft\svchost.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\svchost.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'mi####curity.com':80
- 'mi####curity.com':443
TCP
Запросы HTTP GET
- http://mi####curity.com/images/header.png
Другие
- 'mi####curity.com':443
UDP
- DNS ASK mi###pdate.net
- DNS ASK mi####curity.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\svchost.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del <Полный путь к файлу> >> NUL (со скрытым окном)
