Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] '780b5df8fda898f39851917d8a235940' = '"%TEMP%\Svchost.exe" ..'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '780b5df8fda898f39851917d8a235940' = '"%TEMP%\Svchost.exe" ..'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\780b5df8fda898f39851917d8a235940.exe
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\Svchost.exe" "Svchost.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\server.exe
- %TEMP%\program.exe
- %TEMP%\svchost.exe
Сетевая активность
UDP
- DNS ASK ki####2.ddns.net
Другое
Создает и запускает на исполнение
- '%TEMP%\server.exe'
- '%TEMP%\program.exe'
- '%TEMP%\svchost.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle hidden (Start-Process -FilePath $env:Temp\Server.exe)' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle hidden (Start-Process -FilePath $env:Temp\Program.exe)' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\Svchost.exe" "Svchost.exe" ENABLE' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle hidden (Start-Process -FilePath $env:Temp\Server.exe)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' -x -s 876
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle hidden (Start-Process -FilePath $env:Temp\Program.exe)
