Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\syshost32] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Installer\{99F9C637-DAB2-F28B-C4F5-3A37A4897B03}\syshost.exe' /service
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\services.exe
- <SYSTEM32>\csrss.exe
- System
- <SYSTEM32>\smss.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Installer\{99F9C637-DAB2-F28B-C4F5-3A37A4897B03}\syshost.exe
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\d5e4f963.tmp
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'vrz fBmjJay'
- ClassName: '' WindowName: 'dl c jmgZ Kr'
- ClassName: '' WindowName: 'Q '
- ClassName: '' WindowName: 'sDdhugyP Mtewx'
- ClassName: '' WindowName: 'aoxuludlh Zybt '
- ClassName: '' WindowName: 'vNoRgrRQexe'
- ClassName: '' WindowName: 'cdn VhrldEs'
- ClassName: '' WindowName: ' ZsmHjaD'
- ClassName: '' WindowName: 'zyreWtm '
- ClassName: '' WindowName: ' Io t'
- ClassName: '' WindowName: 'limPm mbf'
- ClassName: '' WindowName: 'KFfk iPwnjnWOAwL'
