Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'svehost' = '%HOMEPATH%\My Documents\MSDCE\svehost.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,%HOMEPATH%\My Documents\MSDCE\svehost.exe'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Templates\skyef.exe
- %HOMEPATH%\Templates\serv1.exe
- %HOMEPATH%\Templates\egsge.exe
- %HOMEPATH%\Templates\operhs.exe
- %HOMEPATH%\My Documents\MSDCE\svehost.exe
- %TEMP%\dw.log
- %TEMP%\2A445.dmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\My Documents\MSDCE\svehost.exe
Удаляет следующие файлы:
- %HOMEPATH%\Templates\skyef.exe
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'wp#d':80
- 'ch####p.dyndns.org':80
- '17#.#4.17.18':1515
TCP:
Запросы HTTP GET:
- http://11#.#11.111.1/wpad.dat via wp#d
- http://ch####p.dyndns.org/
UDP:
- DNS ASK wp#d
- DNS ASK ch####p.dyndns.org
Другое:
Создает и запускает на исполнение:
- '<Полный путь к файлу>'
- '%HOMEPATH%\Templates\skyef.exe'
- '%HOMEPATH%\Templates\serv1.exe'
- '%HOMEPATH%\Templates\egsge.exe'
Запускает на исполнение:
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 372
- '<SYSTEM32>\cmd.exe' /k attrib "%HOMEPATH%\Templates\skyef.exe" +s +h
- '<SYSTEM32>\cmd.exe' /k attrib "%HOMEPATH%\Templates" +s +h
- '<SYSTEM32>\notepad.exe'
- '<SYSTEM32>\attrib.exe' "%HOMEPATH%\Templates\skyef.exe" +s +h
- '<SYSTEM32>\attrib.exe' "%HOMEPATH%\Templates" +s +h
