Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\system\VMwareService.exe' = '%WINDIR%\system\VMwareService.exe:*:Enabled:Microsoft Enabled'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\ctfmon.exe' = '<SYSTEM32>\ctfmon.exe:*:Enabled:ipsec'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:ipsec'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- %WINDIR%\system\VMwareService.exe
Запускает на исполнение:
- <SYSTEM32>\dumprep.exe 1132 -dm 7 7 %WINDIR%\PCHealth\ErrorRep\UserDumps\svchost.exe.20120627-191752-00.mdmp 16325836412033196
- %WINDIR%\explorer.exe
Внедряет код в
следующие системные процессы:
большое количество пользовательских процессов.
Завершает или пытается завершить
следующие системные процессы:
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'pediy06' WindowName: ''
- ClassName: 'GBDYLLO' WindowName: ''
- ClassName: 'OLLYDBG' WindowName: ''
обнаружения различных программ и игр:
- ClassName: 'MSNHiddenWindowClass' WindowName: ''