Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'appinit_dlls' = '\\?\globalroot<SYSTEM32>\senekawi.dll'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\senekalight] 'start' = '00000002'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\senekawi.dll
- <SYSTEM32>\senekalog.dat
- <SYSTEM32>\senekalight.dll
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\senekaf936.tmp
Сетевая активность:
Подключается к:
- '78.##.144.210':80
TCP:
Запросы HTTP GET:
- 78.##.144.210/seneka/engine/engine.php?bo#######################################################################################################################################
- 78.##.144.210/seneka/debug.php?n=###
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
