Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Extension_Service' = '"%APPDATA%\ServiceApp.exe" -b'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\pzip.dll
- %APPDATA%\serviceapp.exe
Перемещает следующие файлы
- %ProgramFiles(x86)%\opera\29.0.1795.47\opera_autoupdate.exe в %ProgramFiles(x86)%\opera\29.0.1795.47\opera_autoupdate.exe_
Сетевая активность
Подключается к
- 'google.com':80
UDP
- DNS ASK google.com
- DNS ASK nc##.space
- DNS ASK nc##.icu
- DNS ASK nc##.website
Другое
Ищет следующие окна
- ClassName: 'AutoHotkey' WindowName: '<Полный путь к файлу>'
- ClassName: 'AutoHotkey' WindowName: '%APPDATA%\ServiceApp.exe'
Создает и запускает на исполнение
- '%APPDATA%\serviceapp.exe' -b
Запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' stop windefend (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete windefend (со скрытым окном)
