Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe,logon.cmd'
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\Elevate.exe' -wait4exit -noui xcopy /y logon.cmd <SYSTEM32>
- '<Текущая директория>\Elevate.exe' -wait4exit -noui reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v Shell /d "explorer.exe,logon.cmd"
- '<Текущая директория>\Elevate.exe' bootcfg /raw /a /safeboot:network /id 1
Запускает на исполнение:
- '<SYSTEM32>\bootcfg.exe' /raw /a /safeboot:network /id 1
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v Shell /d "explorer.exe,logon.cmd"
- '<SYSTEM32>\xcopy.exe' /y logon.cmd <SYSTEM32>
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\kl.bat" "
- '<SYSTEM32>\findstr.exe' /i "5\.0\."
- '<SYSTEM32>\findstr.exe' /i "5\.1\."
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\logon.cmd
- <SYSTEM32>\logon.cmd
- <Текущая директория>\Elevate.exe
- <Текущая директория>\Elevate64.exe
- <Текущая директория>\kl.bat
Удаляет следующие файлы:
- <Текущая директория>\logon.cmd
- <Текущая директория>\Elevate64.exe
- <Текущая директория>\Elevate.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
