Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\eSafeSvc] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\ProgramData\eSafe\<Имя вируса>.exe'
- 'C:\ProgramData\eSafe\<Имя вируса>.exe' -run
Запускает на исполнение:
- '<SYSTEM32>\wermgr.exe' -queuereporting
Изменения в файловой системе:
Создает следующие файлы:
- C:\ProgramData\eSafe\log\<Имя вируса>.LOG
- C:\ProgramData\eSafe\<Имя вируса>.exe
Сетевая активность:
Подключается к:
- 'up.##ft365.com':80
- 'xa.###gcloud.com':80
TCP:
Запросы HTTP GET:
- up.##ft365.com/gdp/softupdate?pt######################################################################################
- xa.###gcloud.com/v4/sof-newgdp/fdaad129-04df-4089-bb80-174ce725f721_3ACF1CC3?ac###################################################################################################
UDP:
- DNS ASK up.##ft365.com
- DNS ASK xa.###gcloud.com
