Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'run' = '<SYSTEM32>\recovery.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Shortcut to startup_local.lnk
Заражает следующие исполняемые файлы:
- C:\Far2\Plugins\arclite\7zSD.sfx
- C:\Far2\Plugins\FTP\lib\ftpDirList.fll
- C:\Far2\Plugins\FTP\lib\ftpProgress.fll
- C:\Far2\Plugins\arclite\7zS2con.sfx
- C:\Far2\Plugins\arclite\7z.sfx
- C:\Far2\Plugins\arclite\7zCon.sfx
- C:\Far2\Plugins\arclite\7zS2.sfx
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\notepad.exe' <SYSTEM32>\RansomWar.txt
Изменения в файловой системе:
Создает следующие файлы:
- <Служебный элемент>
- <SYSTEM32>\RansomWar.txt
- <SYSTEM32>\recovery.exe
Перемещает следующие файлы:
- <Служебный элемент> в <Служебный элемент>
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
