Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\nethost] 'Start' = '00000000'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6YQRA29M\getcfg[1].htm
- <SYSTEM32>\DLL1.tmp
- <DRIVERS>\nethost.sys
Удаляет следующие файлы:
- <SYSTEM32>\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6YQRA29M\getcfg[1].htm
Самоудаляется.
Сетевая активность:
Подключается к:
- 'nd####433.mcdir.ru':80
- '77####2ll.mcdir.ru':80
- 'la###to.nut.cc':80
TCP:
Запросы HTTP POST:
- nd####433.mcdir.ru/tsto2/getcfg.php
- 77####2ll.mcdir.ru/tsto2/getcfg.php
- la###to.nut.cc/boorda/getcfg.php
UDP:
- DNS ASK nd####433.mcdir.ru
- DNS ASK 77####2ll.mcdir.ru
- DNS ASK la###to.nut.cc
