Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Security' = 'Wscript.exe /B "%HOMEPATH%\nebp.vbe"'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\Parker.job
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\wscript.exe /B "%HOMEPATH%\nebp.vbe"
- <SYSTEM32>\wscript.exe /B "%APPDATA%\msddn.vbs"
- <SYSTEM32>\schtasks.exe /Create /SC minute /mo 15 /TN Parker /TR "wscript.exe /B """%APPDATA%\msddn.vbs"""" /RU SYSTEM
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\msddn.vbs
- %HOMEPATH%\nebp.vbe
- %ALLUSERSPROFILE%\idt
- %ALLUSERSPROFILE%\0
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\msddn.vbs
Сетевая активность:
Подключается к:
- 'ms###.largamex.com':80
TCP:
Запросы HTTP GET:
- ms###.largamex.com/mumfile/1.vbe.file
UDP:
- DNS ASK ms###.largamex.com
