Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'taskman' = '<SYSTEM32>\config\svchost.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v taskman /d <SYSTEM32>\config\svchost.exe /f
- '%TEMP%\eqscsacdmt\svchost.exe' /mantP2852 <SYSTEM32>\config\systemprofile\svchost.exe
- '<SYSTEM32>\config\systemprofile\svchost.exe' /primero
- '<SYSTEM32>\cmd.exe' /c copy <SYSTEM32>\config\systemprofile\svchost.exe <SYSTEM32>\config\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\eqscsacdmt\svchost.exe
- <SYSTEM32>\config\svchost.exe
- %TEMP%\~DFED0E.tmp
- %TEMP%\~DFBA6B.tmp
- %TEMP%\~DFA5AB.tmp
- <SYSTEM32>\pdeelcdws32pnt.tmp
- <SYSTEM32>\config\systemprofile\svchost.exe
Удаляет следующие файлы:
- <SYSTEM32>\pdeelcdws32pnt.tmp
- %TEMP%\~DFA5AB.tmp
Подменяет следующие файлы:
- <SYSTEM32>\pdeelcdws32pnt.tmp
Сетевая активность:
Подключается к:
- 'ar####v.no-ip.org':20501
UDP:
- DNS ASK ar####v.no-ip.org
