Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\{AE2A3887-A30A-4B39-A5E6-AC891A07AFF3}] 'ImagePath' = '<DRIVERS>\{AE2A3887-A30A-4B39-A5E6-AC891A07AFF3}.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\wuauserv\Parameters] 'ServiceDll' = '<SYSTEM32>\msfontfrm.dat'
- [<HKLM>\SYSTEM\ControlSet001\Services\wuauserv] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s /u "<SYSTEM32>\msfontfrm.dat"
- '<SYSTEM32>\regsvr32.exe' /s "%TEMP%\_instb327.$$"
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\{AE2A3887-A30A-4B39-A5E6-AC891A07AFF3}.sys
- <SYSTEM32>\msfontfrm.dat
- %TEMP%\_instb327.$$
Удаляет следующие файлы:
- %TEMP%\_instb327.$$
- <DRIVERS>\{AE2A3887-A30A-4B39-A5E6-AC891A07AFF3}.sys
Сетевая активность:
Подключается к:
- 'us##.##-very-good.org':443
UDP:
- DNS ASK us##.##-very-good.org
