Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'syshost32' = '%WINDIR%\Installer\{9CE76E52-82AA-F04A-F729-BD42D6BEACEE}\syshost.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\syshost32] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Installer\{9CE76E52-82AA-F04A-F729-BD42D6BEACEE}\syshost.exe'
- '%WINDIR%\Installer\{9CE76E52-82AA-F04A-F729-BD42D6BEACEE}\syshost.exe' /service
Запускает на исполнение:
- '<SYSTEM32>\dumprep.exe' 1652 -dm 7 7 %TEMP%\WERdbde.dir00\ctfmon.exe.mdmp 16325836412027240
- '<SYSTEM32>\dumprep.exe' 1428 -dm 7 7 %TEMP%\WERd9c6.dir00\explorer.exe.mdmp 16325836412028032
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\cscript.exe
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Installer\{9CE76E52-82AA-F04A-F729-BD42D6BEACEE}\syshost.exe
Перемещает следующие файлы:
- %WINDIR%\Installer\{9CE76E52-82AA-F04A-F729-BD42D6BEACEE}\syshost.exe в %TEMP%\81d63dea.tmp
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\db4ab870.tmp
Самоудаляется.
