Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'sppsvc' = '%LOCALAPPDATA%\Comms\sppsvc.exe'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'fontdrvhost' = '%ProgramFiles(x86)%\Microsoft Analysis Services\fontdrvhost.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\fontdrvhost
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\comms\sppsvc.exe
- %ProgramFiles(x86)%\microsoft analysis services\fontdrvhost.exe
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\f686aace6942fb7f7ceb231212eef4a4_8cf7b530-613e-439b-a8c5-ccfc0e745400
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\comms\sppsvc.exe
- %ProgramFiles(x86)%\microsoft analysis services\fontdrvhost.exe
Сетевая активность
UDP
- DNS ASK dn#.google
- 'dn#.google':443
- '18#.#14.97.1':443
- '18#.#14.96.1':443
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\microsoft analysis services\fontdrvhost.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' (со скрытым окном)
- '%WINDIR%\syswow64\reagentc.exe' /disable
