Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsInit' = '%APPDATA%\Roaming\Microsoft\svshost.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Roaming\Microsoft\svshost.exe'
- '%APPDATA%\Roaming\Microsoft\net.exe'
Запускает на исполнение:
- '<SYSTEM32>\conhost.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\Microsoft\svshost.exe
- %APPDATA%\Roaming\Microsoft\net.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Roaming\Microsoft\svshost.exe
- %APPDATA%\Roaming\Microsoft\net.exe
- <Полный путь к вирусу>
Удаляет следующие файлы:
- %APPDATA%\Roaming\Microsoft\svshost.exe
Сетевая активность:
Подключается к:
- '20#.#15.237.197':6667
UDP:
- DNS ASK dn#.##ftncsi.com
