Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Sueho' = '"%APPDATA%\Egoft\sueho.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%APPDATA%\Egoft\sueho.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\IIH3009.bat
- <LS_APPDATA>\ahzeo.ipy
- %APPDATA%\Egoft\sueho.exe
Самоудаляется.
Сетевая активность:
UDP:
- '21#.#05.236.215':10079
- '21#.#4.146.36':28073
- '18#.#5.146.52':26524
- '10#.#2.117.225':21677
- '79.##1.33.157':29658
- '31.##.150.109':13464
- '64.##0.169.214':13039
- '19#.#38.38.246':13771
- '67.##3.168.19':12484
- '18#.#4.222.234':24357
- '10#.#4.172.39':18939
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
