Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Создает и запускает на исполнение:
- %WINDIR%\string.exe
Запускает на исполнение:
- <SYSTEM32>\reg.exe export HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion %WINDIR%\code.dller
- <SYSTEM32>\reg.exe export HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography %WINDIR%\code2.dller
- <SYSTEM32>\reg.exe export HKEY_CURRENT_USER\Software\Valve\Half-Life\Settings %WINDIR%\code3.dller
- <SYSTEM32>\findstr.exe /B "Steam" %WINDIR%\bob.txt
- <SYSTEM32>\reg.exe add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableTaskMgr /t REG_DWORD /d 1 /f
- <SYSTEM32>\reg.exe export HKEY_CURRENT_USER\Software\Valve\Steam %WINDIR%\bobarea.reg
- <SYSTEM32>\find.exe %WINDIR%\bobarea.reg "SteamPath"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\~2.bat
- %WINDIR%\code.dller
- %WINDIR%\code2.dller
- %TEMP%\~1.bat
- <LS_APPDATA>\remover.exe
- %WINDIR%\string.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\~2.bat
- %TEMP%\~1.bat
Удаляет следующие файлы:
- %TEMP%\~2.bat
