Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Межсетевой экран (Брандмауэр Windows)
удаляет теневые копии разделов.
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\svnhost.exe'
Создает и загружает библиотеки (эксплоит)
- %APPDATA%\ty6e7az.pwn
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop MpsSvc
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /C start /B "" "%APPDATA%\svnhost.exe"
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
следующие пользовательские процессы:
- svnhost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ty6e7az.pwn
- %APPDATA%\svnhost.exe
Удаляет следующие файлы
- %APPDATA%\ty6e7az.pwn
- %APPDATA%\svnhost.exe
Сетевая активность
UDP
- DNS ASK so####sothat.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\syswow64\cmd.exe' /c net stop MpsSvc (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c sc config MpsSvc start= disabled (со скрытым окном)
- '%ProgramFiles(x86)%\opera\launcher.exe' -noautoupdate -- "%1"
- '%WINDIR%\syswow64\sc.exe' config MpsSvc start= disabled
- '%WINDIR%\syswow64\net1.exe' stop MpsSvc
- '<SYSTEM32>\cmd.exe' /C start /B "" "%APPDATA%\svnhost.exe" (со скрытым окном)
- '%WINDIR%\syswow64\vssadmin.exe' delete shadows /all /quiet (со скрытым окном)
