Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'Host Process for Windows services' = 'cmd /c "start "Host Process for Windows services" "svhosts.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\host process for windows services
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\reg.exe
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\svhosts.exe
Сетевая активность
Подключается к
- '19#.#42.218.65':5555
- 'localhost':5555
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "Host Process for Windows services" /tr "'svhosts.exe' /startup" /sc MINUTE /f /rl highest (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v "Host Process for Windows services" /d "cmd /c """start """Host Process for Windows services""" """svhosts.exe"""" /f /reg:64 (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {7D7560A8-D5A7-4892-BB55-23716C32B47E} S-1-5-21-3150914307-1777937420-491476919-1000:wivkcepaicrt\user:Interactive:[1]
