Индикаторы активности агента Computrace
1. Один из процессов запущен:
- rpcnet.exe
- rpcnetp.exe
- 32-bitsvchost.exe, работающие на 64-bitсистеме (косвенный индикатор)
2. Один из файлов существует на диске:
- %WINDIR%\System32\rpcnet.exe
- %WINDIR%\System32\rpcnetp.exe
- %WINDIR%\System32\wceprv.dll
- %WINDIR%\System32\identprv.dll
- %WINDIR%\System32\Upgrd.exe
- %WINDIR%\System32\autochk.exe.bak (для FAT)
- %WINDIR%\System32\autochk.exe:bak (для NTFS)
3. Система отправляет DNS-запросы для следующих доменов:
- search.namequery.com
- search.us.namequery.com
- search64.namequery.com
- bh.namequery.com
- namequery.nettrace.co.za
- search2.namequery.com
- m229.absolute.com или любых m*.absolute.com
4. Система соединяется со следующим IP-адресом: 209.53.113.223
5. Существует один из следующих ключей в реестре:
- HKLM\System\CurrentControlSet\Services\rpcnet
- HKLM\System\CurrentControlSet\Services\rpcnetp