Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>.exe' = '"<Полный путь к файлу>"'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\srviecheck] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\srviecheck] 'ImagePath' = '%WINDIR%\update.2\svchost.exe srv'
- [HKLM\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Создает следующие сервисы
- 'srviecheck' %WINDIR%\update.2\svchost.exe srv
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall set opmode mode=disable
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\update.2\svchost.exe
- <DRIVERS>\etc\hГ®sts
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- '255.255.255.255':80
- '46.##2.129.188':80
UDP
- DNS ASK google.com
- DNS ASK ch####-update.ru
- DNS ASK fr###pac.net
- DNS ASK dr####s-z2012.com
- DNS ASK vk###akte.ru
- DNS ASK lo###.vk.com
- DNS ASK vk.com
- DNS ASK od####assniki.ru
- DNS ASK fa###ook.com
- DNS ASK mt#.ru
- DNS ASK of######mportant-update.com
- DNS ASK r-##los.ru
- DNS ASK bmp-forwindows.com
- 'localhost':56704
- 'localhost':50254
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\update.2\svchost.exe' srv
- '%WINDIR%\update.2\svchost.exe' stand
Запускает на исполнение
- '%WINDIR%\syswow64\netstat.exe' -ano (со скрытым окном)
- '%WINDIR%\update.2\svchost.exe' stand (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall set opmode mode=disable (со скрытым окном)
