Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] '873f687d272f7232ba24b56cdb321ec2' = '"%APPDATA%\sihost.exe" ..'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '873f687d272f7232ba24b56cdb321ec2' = '"%APPDATA%\sihost.exe" ..'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\873f687d272f7232ba24b56cdb321ec2.exe
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\settingsynchost.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%APPDATA%\sihost.exe" "sihost.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\sihost.exe
- C:\settingsynchost.exe
- C:\autorun.inf
- D:\settingsynchost.exe
- D:\autorun.inf
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
- %APPDATA%\sihost.exe
- C:\settingsynchost.exe
- C:\autorun.inf
- D:\settingsynchost.exe
- D:\autorun.inf
- <Имя диска съемного носителя>:\settingsynchost.exe
- <Имя диска съемного носителя>:\autorun.inf
Сетевая активность
UDP
- DNS ASK du####p33.ddns.net
Другое
Создает и запускает на исполнение
- '%APPDATA%\sihost.exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%APPDATA%\sihost.exe" "sihost.exe" ENABLE' (со скрытым окном)
