Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\idxsvc] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\Application Data\idxsvc\msmsvc.exe' set idxsvc Description "Extracts content from files and constructs an indexed catalog to facilitate efficient and rapid searching."
- '%ALLUSERSPROFILE%\Application Data\idxsvc\msmsvc.exe'
- '%ALLUSERSPROFILE%\Application Data\idxsvc\idxsvc.exe' SocksPort 9099
- '<Текущая директория>\Game.exe'
- '%ALLUSERSPROFILE%\Application Data\idxsvc\msmsvc.exe' install idxsvc "%ALLUSERSPROFILE%\Application Data\idxsvc\idxsvc.exe" "SocksPort 9099"
- '%ALLUSERSPROFILE%\Application Data\idxsvc\msmsvc.exe' set idxsvc DisplayName "File Indexing Service"
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' start idxsvc
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\idxsvc\idxsvc.exe
- %ALLUSERSPROFILE%\Application Data\idxsvc\kag3.ps1
- C:\Documents and Settings\LocalService\Application Data\tor\state.tmp
- <Текущая директория>\Game.exe
- %ALLUSERSPROFILE%\Application Data\idxsvc\aavupd.exe
- %ALLUSERSPROFILE%\Application Data\idxsvc\msmsvc.exe
Удаляет следующие файлы:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
Перемещает следующие файлы:
- C:\Documents and Settings\LocalService\Application Data\tor\state.tmp в C:\Documents and Settings\LocalService\Application Data\tor\state
Сетевая активность:
Подключается к:
- '20#.#3.223.34':80
- 'localhost':1035
