Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\DcomLaunchSys] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe' -k netsvcs
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Com\svchost.exe
- %ALLUSERSPROFILE%\Application Data\Mozilla\UV9FXlFbb1NfWVQPBg.bin
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\Com\svchost.exe
- %ALLUSERSPROFILE%\Application Data\Mozilla\UV9FXlFbb1NfWVQPBg.bin
Самоперемещается:
- из <Полный путь к вирусу> в <Полный путь к вирусу>1
Самоудаляется.
Сетевая активность:
Подключается к:
- 'fi#####alnewsonline.pw':80
- '18#.#0.56.59':443
TCP:
Запросы HTTP GET:
- fi#####alnewsonline.pw/kNqXehYhWua2VsLccQBqblBziBU4SLpF311ypR2BiYGDdnhrpYSC-JrXhtaZx5mElV-f3pIlUNBJcH7U8L-ao/4gOo4OfEe.WpyC6E7rCEXLl4NDSGTBhSTESkW7vvgPC9Nb1CD82.html
- fi#####alnewsonline.pw/vxVXxAknH9/Di/tNE/ZmnAM.XYo3e5S1X4yrBfPP-NI6un2UiKKnMzyaLBM.h.cgi?P-#################################################
Запросы HTTP POST:
- fi#####alnewsonline.pw/xByxMLPBFmkVlvhlbM1tbEnnI/y/F3T8wWGUfPPTs8lc.Wn8bmm/t8YHjXsN9h5wFkzHcPbfqY9evwSBh-G.php?rh#######################################################################################
UDP:
- DNS ASK fi#####alnewsonline.pw
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
