Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] '{892F171F-B21A-7693-1F79-B6915C43ECDE}' = '%APPDATA%\svchoste.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\split.avi
- <Имя диска съемного носителя>:\how to restore files.txt
- <Имя диска съемного носителя>:\000814251_video_01.avi
- <Имя диска съемного носителя>:\default.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\coffee.bmp
- <Имя диска съемного носителя>:\dial.bmp
- <Имя диска съемного носителя>:\dashborder_144.bmp
- <Имя диска съемного носителя>:\dashborder_192.bmp
- <Имя диска съемного носителя>:\sdkfailsafeemulator.cer
- <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\000814251_video_01.avi
- %HOMEPATH%\desktop\tree_view.htm
- %HOMEPATH%\desktop\tileimage.bmp
- %HOMEPATH%\desktop\thlps_keeper_mayer_1965.docx
- %HOMEPATH%\desktop\testee.cer
- %HOMEPATH%\desktop\sdksampleunprivdeveloper.cer
- %HOMEPATH%\desktop\holycrosschurchinstructions.docx
- %HOMEPATH%\desktop\hanni_umami_chapter.doc
- %HOMEPATH%\desktop\glidescope_review_rev_010.docx
- %HOMEPATH%\desktop\february_catalogue__2015.doc
- %HOMEPATH%\desktop\dialmap.bmp
- %HOMEPATH%\desktop\delete.avi
- %HOMEPATH%\desktop\trivial-merge.html
- %HOMEPATH%\desktop\dashborder_144.bmp
- %HOMEPATH%\desktop\cveuropeo.doc
- %HOMEPATH%\desktop\contoso_1.cer
- %HOMEPATH%\desktop\coffee.bmp
- %HOMEPATH%\desktop\api-hashmap.html
- %HOMEPATH%\desktop\about.html
- %HOMEPATH%\desktop\4f0bf7ff71f28.jpg
- %HOMEPATH%\desktop\3.jpg
- %HOMEPATH%\desktop\2.jpg
- %HOMEPATH%\desktop\168.jpg
- %HOMEPATH%\desktop\13.jpg
- %HOMEPATH%\desktop\13.jpeg
- %HOMEPATH%\desktop\dashborder_120.bmp
- %HOMEPATH%\desktop\uep_form_786_bulletin_1726i602.doc
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\svchoste.exe
- C:\far2\pluginsdk\headers.c\how to restore files.txt
- C:\far2\plugins\tmppanel\how to restore files.txt
- C:\far2\plugins\proclist\how to restore files.txt
- C:\far2\plugins\network\how to restore files.txt
- C:\far2\plugins\macroview\how to restore files.txt
- C:\far2\plugins\hlfviewer\how to restore files.txt
- C:\far2\pluginsdk\headers.pas\how to restore files.txt
- C:\far2\plugins\ftp\lib\how to restore files.txt
- C:\far2\plugins\filecase\how to restore files.txt
- C:\far2\plugins\farcmds\how to restore files.txt
- C:\far2\plugins\emenu\how to restore files.txt
- C:\far2\plugins\editcase\how to restore files.txt
- C:\far2\plugins\drawline\how to restore files.txt
- C:\far2\plugins\compare\how to restore files.txt
- C:\far2\plugins\ftp\how to restore files.txt
- C:\users\public\libraries\how to restore files.txt
- C:\users\public\videos\sample videos\how to restore files.txt
- C:\totalcmd\language\how to restore files.txt
- C:\users\public\videos\how to restore files.txt
- C:\users\public\recorded tv\sample media\how to restore files.txt
- C:\users\public\recorded tv\how to restore files.txt
- C:\users\public\pictures\sample pictures\how to restore files.txt
- C:\users\public\pictures\how to restore files.txt
- C:\users\public\music\sample music\how to restore files.txt
- C:\far2\plugins\brackets\how to restore files.txt
- C:\users\public\music\how to restore files.txt
- C:\users\public\downloads\how to restore files.txt
- C:\users\public\documents\how to restore files.txt
- C:\users\public\how to restore files.txt
- C:\users\public\desktop\how to restore files.txt
- C:\users\how to restore files.txt
- C:\users\default\how to restore files.txt
- C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\how to restore files.txt
- C:\totalcmd\how to restore files.txt
- C:\far2\plugins\autowrap\how to restore files.txt
- %HOMEPATH%\searches\how to restore files.txt
- %HOMEPATH%\how to restore files.txt
- %HOMEPATH%\music\how to restore files.txt
- %HOMEPATH%\links\how to restore files.txt
- %HOMEPATH%\favorites\windows live\how to restore files.txt
- %HOMEPATH%\favorites\msn websites\how to restore files.txt
- %HOMEPATH%\favorites\microsoft websites\how to restore files.txt
- %HOMEPATH%\pictures\how to restore files.txt
- %HOMEPATH%\favorites\links for united states\how to restore files.txt
- %HOMEPATH%\favorites\how to restore files.txt
- %HOMEPATH%\downloads\how to restore files.txt
- %HOMEPATH%\documents\how to restore files.txt
- %HOMEPATH%\desktop\how to restore files.txt
- %HOMEPATH%\contacts\how to restore files.txt
- %TEMP%\{f2e1773a-f2e1-f032-f032-f032d11d75f1}.bat
- %HOMEPATH%\favorites\links\how to restore files.txt
- C:\far2\addons\shell\how to restore files.txt
- C:\far2\plugins\align\how to restore files.txt
- %HOMEPATH%\videos\how to restore files.txt
- C:\far2\fexcept\how to restore files.txt
- C:\far2\how to restore files.txt
- C:\far2\encyclopedia\tap\how to restore files.txt
- C:\far2\encyclopedia\how to restore files.txt
- C:\far2\documentation\rus\how to restore files.txt
- C:\far2\documentation\eng\how to restore files.txt
- C:\far2\plugins\arclite\how to restore files.txt
- C:\far2\addons\xlat\russian\how to restore files.txt
- C:\far2\addons\setup\how to restore files.txt
- C:\far2\addons\how to restore files.txt
- C:\far2\addons\macros\how to restore files.txt
- C:\far2\addons\colors\how to restore files.txt
- C:\far2\addons\colors\default_highlighting\how to restore files.txt
- C:\far2\addons\colors\custom_highlighting\how to restore files.txt
- %HOMEPATH%\saved games\how to restore files.txt
- D:\how to restore files.txt
Удаляет следующие файлы
- %APPDATA%\svchoste.exe
Подменяет следующие файлы
- %APPDATA%\svchoste.exe
Самоудаляется.
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
Подключается к
- 'ip###ger.org':443
TCP
Запросы HTTP GET
- http://ip###ger.com/1OfQ6.gif
UDP
- DNS ASK ip###ger.com
- DNS ASK ip###ger.org
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\{F2E1773A-F2E1-F032-F032-F032D11D75F1}.bat' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c vssadmin Delete Shadows /All /Quiet' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c bcdedit /set {default} recoveryenabled No' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c bcdedit /set {default} bootstatuspolicy ignoreallfailures' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\{F2E1773A-F2E1-F032-F032-F032D11D75F1}.bat
- '%WINDIR%\syswow64\cmd.exe' /c vssadmin Delete Shadows /All /Quiet
- '%WINDIR%\syswow64\cmd.exe' /c bcdedit /set {default} recoveryenabled No
- '%WINDIR%\syswow64\cmd.exe' /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\vssvc.exe'
