Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = '%TEMP%\Windows\svchost.exe.lnk '
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\team-elanlaunchersetup.exe.exe
- %TEMP%\{239d1f03-8bb0-4943-bca7-e66e2ac6dd78}\setup.ini
- %TEMP%\{239d1f03-8bb0-4943-bca7-e66e2ac6dd78}\_ismsidel.ini
- %TEMP%\{239d1f03-8bb0-4943-bca7-e66e2ac6dd78}\0x0407.ini
- %TEMP%\~a228.tmp
- %TEMP%\~a238.tmp
- %TEMP%\{239d1f03-8bb0-4943-bca7-e66e2ac6dd78}\team-elan launcher.msi
- %TEMP%\windows\svchost.exe
- %LOCALAPPDATA%\downloaded installations\{a2846ee9-0fce-442c-b46c-f318d21cf217}\team-elan launcher.msi
- %TEMP%\~a526.tmp
- %TEMP%\windows\svchost.exe.lnk
- %TEMP%\svchost.exe
- %TEMP%\windows\svchost.exe.bat
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\run.dat
Удаляет следующие файлы
- %TEMP%\~a228.tmp
- %TEMP%\~a238.tmp
- %TEMP%\~a526.tmp
Сетевая активность
Подключается к
- 'fu####.homepc.it':9034
UDP
- DNS ASK fu####.homepc.it
Другое
Создает и запускает на исполнение
- '%TEMP%\team-elanlaunchersetup.exe.exe'
- '%TEMP%\svchost.exe'
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\Windows\svchost.exe.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\reg.exe' add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /t REG_SZ /d "%TEMP%\Windows\svchost.exe.lnk " /f
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\Windows\svchost.exe.bat
- '%WINDIR%\syswow64\timeout.exe' /t 300
- '%WINDIR%\syswow64\msiexec.exe' /i "%LOCALAPPDATA%\Downloaded Installations\{A2846EE9-0FCE-442C-B46C-F318D21CF217}\Team-ELAN Launcher.msi" SETUPEXEDIR="%LOCALAPPDATA%\Temp" SETUPEXENAME="Team-ELANLauncherSetup.exe.exe"
