Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Google Inc' = '%WINDIR%\System\scvcres.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\system\svchots.exe
- %WINDIR%\system\scvcres.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ci0-temp\logo.bmp
- %TEMP%\ci0-temp\update.bmp
- %TEMP%\ci0-temp\CreateInstall_updatelist.gea
- %PROGRAM_FILES%\CreateInstall\update.ini
- %TEMP%\php3.tmp
- %TEMP%\php2.tmp
- %TEMP%\php1.tmp
- %WINDIR%\system\scvcres.exe
- %TEMP%\ci0-temp\CreateInstall.set
- %TEMP%\gert0.dll
- %WINDIR%\system\svchots.exe
- %PROGRAM_FILES%\CreateInstall\update.exe
- %TEMP%\ci0-temp\update.ico
- %PROGRAM_FILES%\CreateInstall\Resource\update.ico
Удаляет следующие файлы:
- %TEMP%\ci0-temp\update.bmp
- %TEMP%\ci0-temp\update.ico
- %TEMP%\gert0.dll
- %TEMP%\ci0-temp\CreateInstall.set
- %TEMP%\ci0-temp\CreateInstall_updatelist.gea
- %TEMP%\ci0-temp\logo.bmp
Сетевая активность:
Подключается к:
- 'se####conexts.com':80
TCP:
Запросы HTTP GET:
- se####conexts.com/priv9/bots.php?iN####################
UDP:
- DNS ASK se####conexts.com
- '<IP-адрес в локальной сети>':1035
