Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\eSafeSvc] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\Application Data\eSafe\<Имя вируса>.exe'
- '%ALLUSERSPROFILE%\Application Data\eSafe\<Имя вируса>.exe' -run
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
- ClassName: '' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass' WindowName: ''
- ClassName: '' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'GBDYLLO' WindowName: ''
- ClassName: 'OLLYDBG' WindowName: ''
- ClassName: 'FilemonClass' WindowName: ''
- ClassName: 'pediy06' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\eSafe\<Имя вируса>.exe
Сетевая активность:
Подключается к:
- 'ad#.#oft365.com':80
- 'xa.###gcloud.com':80
TCP:
Запросы HTTP GET:
- http://ad#.#oft365.com/gdp/softupdate?pt###############################################################################################
- http://xa.###gcloud.com/v4/sof-newgdp/<Служебное имя>X<Служебное имя>XIDEXHardXDrive_11000000000000000001?ac#####################################################################################...
UDP:
- DNS ASK ad#.#oft365.com
- DNS ASK xa.###gcloud.com
Другое:
Ищет следующие окна:
- ClassName: '18467-41' WindowName: ''
