Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Com+ System Service] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Com+ System Service] 'ImagePath' = '<SYSTEM32>\svchost.exe -k svccom'
- [HKLM\SYSTEM\CurrentControlSet\Services\Com+ System Service\Parameters] 'ServiceDll' = '<SYSTEM32>\comaddon.dll'
Создает следующие сервисы
- 'Com+ System Service' <SYSTEM32>\svchost.exe -k svccom
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\comaddon.dll
- <SYSTEM32>\comaddon.dll
- <SYSTEM32>\ndriver.ini
- <SYSTEM32>\dx3.txt
Удаляет следующие файлы
- %TEMP%\comaddon.dll
- <SYSTEM32>\dx3.txt
Сетевая активность
Подключается к
- '34.##9.100.209':443
- 'ft#.##ethost8.com':21
TCP
Другие
- '34.##9.100.209':443
- 'ft#.##ethost8.com':21
UDP
- DNS ASK ft#.##ethost8.com
Другое
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k svccom
- '<SYSTEM32>\cmd.exe' /C systeminfo > <SYSTEM32>\DX3.txt (со скрытым окном)
- '<SYSTEM32>\systeminfo.exe'
