Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\At1.job
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\fftphv] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' stop drmkaud
- '<SYSTEM32>\at.exe' 18:13 cmd /C sc.exe create fftphv type= kernel binpath= "%PROGRAM_FILES%\Uninstall Information\{860298e2-2165-4342-00b9-cfe38a751b25}\fftphv.bin" start= auto
- '<SYSTEM32>\sc.exe' create fftphv type= kernel binpath= "%PROGRAM_FILES%\Uninstall Information\{860298e2-2165-4342-00b9-cfe38a751b25}\fftphv.bin" start= auto
- '<SYSTEM32>\net1.exe' start schedule
- '<SYSTEM32>\sc.exe' config eventlog start= demand
- '<SYSTEM32>\net1.exe' start eventlog
- '<SYSTEM32>\sc.exe' config schedule start= demand
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1.tmp
- %PROGRAM_FILES%\Uninstall Information\{860298e2-2165-4342-00b9-cfe38a751b25}\fftphv.bin
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\az[1].php
- %WINDIR%\msapps\scb7604.nfo
Удаляет следующие файлы:
- %PROGRAM_FILES%\Uninstall Information\{860298e2-2165-4342-00b9-cfe38a751b25}\fftphv.bin
- %WINDIR%\Tasks\At1.job
Сетевая активность:
Подключается к:
- 'rp##.21civ.com':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- rp##.21civ.com/az.php?o=###################################################
UDP:
- DNS ASK rp##.21civ.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
