Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\4075362560] 'Name' = '"%TEMP%\srvB08.tmp"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\srvB08] 'Start' = '00000002'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\1.tmp
- %WINDIR%\Temp\2.tmp
- %TEMP%\srvB08.tmp
- %TEMP%\srvB08.ini
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\srvB08.tmp
Сетевая активность:
Подключается к:
- '19#.#4.112.138':80
- '<IP-адрес в локальной сети>':80
- '19#.#4.112.139':80
- '<IP-адрес в локальной сети>':445
- '<IP-адрес в локальной сети>':139
TCP:
Запросы HTTP GET:
- 19#.#4.112.139/service/scripts/files/aff_50063.dll
- 19#.#4.112.138/service/listener.php?af#########
- 19#.#4.112.139/X
