Техническая информация
Для обеспечения автозапуска и распространения:
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\services.exe файлом <SYSTEM32>\services.exe.rzxcp
- <SYSTEM32>\dllcache\services.exe файлом <SYSTEM32>\dllcache\services.exe
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\man1.bat"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\man1.bat
- %WINDIR%\Fonts\com201.ttf
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\Fonts\com201.ttf
Удаляет следующие файлы:
- <SYSTEM32>\services.exe.bzxck
Перемещает следующие системные файлы:
- <SYSTEM32>\services.exe в <SYSTEM32>\services.exe.bzxck
- <SYSTEM32>\dllcache\services.exe в <SYSTEM32>\dllcache\services.exe.bzxck
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.jl##e.com':9902
- 'o.##jnl.com':80
TCP:
Запросы HTTP GET:
- o.##jnl.com/tj/tongji/Count.asp?ve###########################################
UDP:
- DNS ASK www.jl##e.com
- DNS ASK o.##jnl.com
