Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.exe.lnk
Вредоносные функции
Перехватывает управление с помощью отладочных регистров
в динамической библиотеке
- Процесс svchodai1.exe, модуль unknown
- Процесс admin.exe, модуль unknown
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Regmonclass', WindowName: ''
- ClassName: 'Filemonclass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\svchodai1.exe
- C:\admin.exe
- %LOCALAPPDATA%\svchodai1.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\svchodai1.exe
Сетевая активность
Подключается к
- '8.##5.45.89':6352
TCP
Другие
- '8.##5.45.89':6352
Другое
Ищет следующие окна
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\svchodai1.exe'
- 'C:\admin.exe'
- '%LOCALAPPDATA%\svchodai1.exe'
Запускает на исполнение
- '%LOCALAPPDATA%\svchodai1.exe' (со скрытым окном)
