Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ClipSrvSys] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe' -k netsvcs
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\Mozilla\svchost.exe
- %ALLUSERSPROFILE%\Application Data\Mozilla\UV9FXlFbb1NfWVQPBg.bin
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\Application Data\Mozilla\svchost.exe
- %ALLUSERSPROFILE%\Application Data\Mozilla\UV9FXlFbb1NfWVQPBg.bin
Сетевая активность:
Подключается к:
- '21#.#70.117.7':80
- 'tr###er-pro.com':80
- '5.#.83.133':443
- '21#.#70.117.7':443
TCP:
Запросы HTTP GET:
- tr###er-pro.com/ypkjXEBY4OvwdE8wqmGBqKRLDc6c/1ILs0-YlWWVHkWN/fB1wCKQme3KGyPff5ka/N5sLvA3Q0WC8MNfhOdjleSco7Zhtqmflz27kE-DWVXsCRhm8pGx5HIYWd87O5KDuxLt0Mm9l4f.html
- tr###er-pro.com/NPzQg/O/EF78FP4Kfk7UKl2gIxjH/VvLakJcQDIfbzPfW1QSKMXjMokli1xpTQULB.NMm5qZ7.TuPU.i9k2k-8b6mY8X0Ro-TMv-d.b3TGe.html
Запросы HTTP POST:
- tr###er-pro.com/ABWRtNvNZ/0xtVrtXip1ZGu36P6/lg-erdtU8ThlIutm/Vj/WlacfBvP5s6jhGRUv1bEfcouZ5Ps18.bml?rX#################################################################################################
- tr###er-pro.com/dTHlSgtQc0ZzWcdV-4yDqvXH2F5Pp.xKEOpOoLpsGRn.ezZ/PyV9P9DNVlehMGoJ.Bd.-zC-Sh6Cg.bml?dC#############################################################################################
UDP:
- DNS ASK tr###er-pro.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
