Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- <SYSTEM32>\netsh.exe firewall add portopening protocol = ALL port = 139 name = DNS mode = ENABLE scope = ALL profile = ALL
- <SYSTEM32>\taskkill.exe /f /im ashAvast.exe
- <SYSTEM32>\wscript.exe "%WINDIR%\msgBox1.vbs"
- <SYSTEM32>\netsh.exe firewall add portopening protocol=TCP port=139 Name=My_FTP2(21) mode=ENABLE scope=All
- <SYSTEM32>\cmd.exe /c ""c:\Setup.bat" "
- <SYSTEM32>\netsh.exe firewall set opmode disable
- <SYSTEM32>\netsh.exe firewall add portopening protocol=TCP port=138 Name=My_FTP(21) mode=ENABLE scope=All
Завершает или пытается завершить
следующие пользовательские процессы:
- ashAvast.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\msgBox1.vbs
- C:\Setup.bat
- <Полный путь к вирусу>_
Удаляет следующие файлы:
- <Полный путь к вирусу>_
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
