Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'svchot' = '<SYSTEM32>\svchot.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\daiyao.exe
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\svchot.exe
Скрывает следующие процессы:
- <Полный путь к вирусу>
- <SYSTEM32>\svchot.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\E_N4\internet.fne
- %TEMP%\E_N4\shell.fne
- <SYSTEM32>\svchot.exe
- C:\autorun.inf
- C:\daiyao.exe
- %TEMP%\E_N4\Exmlrpc.fne
- %TEMP%\E_N4\krnln.fnr
- %TEMP%\E_N4\EThread.fne
- %TEMP%\E_N4\dp1.fne
- %TEMP%\E_N4\eAPI.fne
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\daiyao.exe
- <Имя диска съемного носителя>:\autorun.inf
- C:\daiyao.exe
- C:\autorun.inf
Удаляет следующие файлы:
- <Имя диска съемного носителя>:\autorun.inf
Сетевая активность:
Подключается к:
- 'da####123.3322.org':3000
UDP:
- DNS ASK da####123.3322.org
