Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Task Manager' = '%APPDATA%\Windows Task Manager\taskmgr.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Windows Task Manager\taskmgr.exe'
Запускает на исполнение:
- '<SYSTEM32>\dumprep.exe' 2876 -dm 7 7 %TEMP%\WERb57c.dir00\taskmgr.exe.hdmp 16325836412027280
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\sysdm.cpl,NoExecuteProcessException %APPDATA%\Windows Task Manager\taskmgr.exe
- '<SYSTEM32>\dumprep.exe' 2876 -dm 7 7 %TEMP%\WERb57c.dir00\taskmgr.exe.mdmp 16325836412027260
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\.bat" "
- '<SYSTEM32>\reg.exe' ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Task Manager" /t REG_SZ /d "%APPDATA%\Windows Task Manager\taskmgr.exe" /f
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\WERb57c.dir00\taskmgr.exe.hdmp
- %TEMP%\WERb57c.dir00\appcompat.txt
- %TEMP%\WERb57c.dir00\manifest.txt
- %TEMP%\.bat
- %APPDATA%\Windows Task Manager\taskmgr.exe
- %TEMP%\WERb57c.dir00\taskmgr.exe.mdmp
Удаляет следующие файлы:
- %TEMP%\.bat
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
