Техническая информация
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\sanv\bho.dll
- %WINDIR%\syswow64\sanv\client.vbs
- %WINDIR%\syswow64\sanv\iadconfig.ini
- %WINDIR%\syswow64\sanv\krnln.fne
- %WINDIR%\syswow64\sanv\svchost.exe
- %WINDIR%\syswow64\sanv\bho.bat
- %TEMP%\tmp.reg
- %WINDIR%\syswow64\sanv\iehelper.dll
- %WINDIR%\iadgame.log
- %WINDIR%\iad.ini
Удаляет следующие файлы
- %TEMP%\tmp.reg
Сетевая активность
UDP
- DNS ASK do####l.jiajiaee.cn
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\sanv\svchost.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "<SYSTEM32>\sanv\Client.vbs"
- '%WINDIR%\syswow64\cmd.exe' /C <SYSTEM32>\sanv\bho.bat (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s "%TEMP%\tmp.reg"
- '%WINDIR%\syswow64\regsvr32.exe' /s bho.dll
- '%WINDIR%\syswow64\regsvr32.exe' /s <SYSTEM32>\sanv\IEHELPER.dll
