Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Svchost Manager' = 'wSvchost32.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'Windows Svchost Manager' = 'wSvchost32.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\wSvchost32.exe mElT<Полный путь к вирусу>
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\DYA_VUARTDJGESULPSQKL\1.0.0:$SS_DESCRIPTOR_SBXNV9VVGV1BFLB0TH1H63T4KPSV46XNK676J6HFSVF7JBCVPJGV
- %ALLUSERSPROFILE%\Desktop:$SS_DESCRIPTOR_SBXNV9VVGV1BFLB0TH1H63T4KPSV46XNK676J6HFSVF7JBCVPJGV
- <SYSTEM32>\wSvchost32.exe
- %ALLUSERSPROFILE%\Application Data\DYA_VUARTDJGESULPSQKL\1.0.0\Data\app.dat
- %ALLUSERSPROFILE%\Application Data\DYA_VUARTDJGESULPSQKL\1.0.0\Data\updates.dat
- %APPDATA%\DYA_VUARTDJGESULPSQKL\1.0.0\Data\dya.dat
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\wSvchost32.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ir#.##mesurge.net':6667
UDP:
- DNS ASK ir#.##mesurge.net
- '<IP-адрес в локальной сети>':1036
