Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\svohost.lnk
Вредоносные функции:
Запускает на исполнение:
- '%TEMP%\svshost.exe'
- '<SYSTEM32>\netsh.exe' Advfirewall set allprofiles state off
- '%TEMP%\svohost.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut3.tmp
- %TEMP%\svshost.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ftplog[1]
- %TEMP%\svshost.exe
- %TEMP%\svohost.exe
- %TEMP%\aut1.tmp
- <Текущая директория>\ImageSearchDLL.dll
- %TEMP%\aut2.tmp
Удаляет следующие файлы:
- %TEMP%\svshost.dll
- %TEMP%\aut3.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
Подменяет следующие файлы:
- %TEMP%\svshost.dll
Сетевая активность:
Подключается к:
- 'li#####h2016.xtgem.com':80
- 'gg.gg':80
TCP:
Запросы HTTP GET:
- http://li#####h2016.xtgem.com/ftplog
- http://gg.gg/autoit
UDP:
- DNS ASK li#####h2016.xtgem.com
- DNS ASK gg.gg
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
