Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Update' = '"%APPDATA%\Microsoft\Windows\1042\dllhost.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Microsoft\Windows\1042\WmiPrvSE.exe' windows-start.servehttp.com -L -o "%APPDATA%\Microsoft\Windows\1042\start.ini"
- '%APPDATA%\Microsoft\Windows\1042\dllhost.exe'
- '%TEMP%\Adobe Creative Cloud Patch.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Acknowledge -BRK-.FON
- %TEMP%\bassmod.dll
- %APPDATA%\Microsoft\Windows\1042\start.ini
- %APPDATA%\Microsoft\Windows\1042\WmiPrvSE.exe
- %TEMP%\dup2patcher.dll
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %TEMP%\Adobe Creative Cloud Patch.exe
- %APPDATA%\Microsoft\Windows\1042\dllhost.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Microsoft\Windows\1042\start.ini
- %APPDATA%\Microsoft\Windows\1042\WmiPrvSE.exe
- %APPDATA%\Microsoft\Windows\1042\dllhost.exe
Удаляет следующие файлы:
- %APPDATA%\Microsoft\Windows\1042\start.ini
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Сетевая активность:
Подключается к:
- 'wi######start.servehttp.com':80
TCP:
Запросы HTTP GET:
- wi######start.servehttp.com/
UDP:
- DNS ASK wi######start.servehttp.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
