Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'esven' = '%APPDATA%\esven.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- schost32.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\schost32.exe
- %TEMP%\ventrilo-3.0.1-windows-i386.exe
- %CommonProgramFiles(x86)%\wise installation wizard\wis789289caf73a4a16a33154d498ce069f_3_0_1.msi
- %APPDATA%\esven.exe
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\ventrilo-3.0.1-windows-i386.exe'
- '%TEMP%\schost32.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe' /I "%CommonProgramFiles(x86)%\Wise Installation Wizard\WIS789289CAF73A4A16A33154D498CE069F_3_0_1.MSI" WISE_SETUP_EXE_PATH="%TEMP%\ventrilo-3.0.1-Windows-i386.exe"
