Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\winmgmt] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' config Winmgmt start= AUTO
- '<SYSTEM32>\net.exe' START Winmgmt
- '<SYSTEM32>\net1.exe' START Winmgmt
- '<SYSTEM32>\cmd.exe' /c NET START Winmgmt
- '<SYSTEM32>\cmd.exe' /c 注册控件WIN7右键管理员运行.bat
- '<SYSTEM32>\cmd.exe' /c del *.cmd
- '<SYSTEM32>\cmd.exe' /c sc config Winmgmt start= AUTO
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\~DFC10B.tmp
Удаляет следующие файлы:
- %TEMP%\~DFC10B.tmp
Сетевая активность:
Подключается к:
- 't4.##itsa.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- http://t4.##itsa.com/login1/openflag.asp?fl####
UDP:
- DNS ASK t4.##itsa.com
