Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Update Service' = '"C:\MyService\WindowsUpdateService.exe"'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\sihost.exe
Изменения в файловой системе
Создает следующие файлы
- C:\myservice\windowsupdateservice.exe
- C:\myservice\log.txt
Сетевая активность
Подключается к
- '10#.#5.217.159':7744
- 'sz.###maogege.com':8000
TCP
Запросы HTTP GET
- http://10#.##.217.159:7744/sz.bin via 10#.#5.217.159
UDP
- DNS ASK sz.###maogege.com
Другое
Создает и запускает на исполнение
- 'C:\myservice\windowsupdateservice.exe'
Запускает на исполнение
- 'C:\myservice\windowsupdateservice.exe' (со скрытым окном)
