Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '3fec74111e00bdc161140bba51f17f82' = '"%ALLUSERSPROFILE%\svehost.exe" ..'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '3fec74111e00bdc161140bba51f17f82' = '"%ALLUSERSPROFILE%\svehost.exe" ..'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'eMulen' = '<LS_APPDATA>\eMulen.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\3fec74111e00bdc161140bba51f17f82.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%ALLUSERSPROFILE%\svehost.exe' = '%ALLUSERSPROFILE%\svehost.exe:*:Enab...
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%ALLUSERSPROFILE%\svehost.exe" "svehost.exe" ENABLE
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\svehost.exe
- <LS_APPDATA>\FBAhRhYWRW
- <LS_APPDATA>\eMulen.exe
Сетевая активность:
Подключается к:
- 'po###g-i.o-r.kr':7171
UDP:
- DNS ASK po###g-i.o-r.kr
Другое:
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\svehost.exe'
