Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\COMODO\COMODO Internet Security\bullshit.exe
Запускает на исполнение:
- <SYSTEM32>\wbem\wmic.exe Process Where Name="cavwp.exe" CALL Terminate
- <SYSTEM32>\wbem\wmic.exe Process Where Name="CisTray.exe" CALL Terminate
- <SYSTEM32>\taskkill.exe /F /IM "explorer.exe"
- <SYSTEM32>\ping.exe -n 6 -w mseconds 1.0.0.0
- <SYSTEM32>\reg.exe DELETE "HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Comodo Antivirus" /F
- <SYSTEM32>\sc.exe config cmdAgent start= disabled
- <SYSTEM32>\ping.exe -n 4 -w mseconds 1.0.0.0
- <SYSTEM32>\sc.exe config cmdvirth start= disabled
- <SYSTEM32>\wbem\wmic.exe Process Where Name="cmdagent.exe" CALL Terminate
- <SYSTEM32>\wbem\wmic.exe Process Where Name="cis.exe" CALL Terminate
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wbem\AutoRecover\C8463ECBE33BC240263A0B094E46D510.mof
- %TEMP%\tmp2.tmp
- <SYSTEM32>\wbem\AutoRecover\23BDE61F1F4FACE17E9B0C01F2A1FD9B.mof
- %TEMP%\tmp3.tmp
- %TEMP%\tmp1.tmp
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %TEMP%\2552IUW0.bat
- %PROGRAM_FILES%\COMODO\COMODO Internet Security\bullshit.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\2552IUW0.bat
Удаляет следующие файлы:
- %TEMP%\tmp3.tmp
- %PROGRAM_FILES%\COMODO\COMODO Internet Security\bullshit.exe
- %TEMP%\2552IUW0.bat
- %TEMP%\tmp2.tmp
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %TEMP%\tmp1.tmp
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
