Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im HaoZip.exe
- '<SYSTEM32>\taskkill.exe' /f /im WinRAR.exe
- '<SYSTEM32>\attrib.exe' +s +a +h +r "%PROGRAM_FILES%\Gerver"
- '<SYSTEM32>\attrib.exe' +s +a +h +r "%PROGRAM_FILES%\Windows NT\poA"
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 4
- '<SYSTEM32>\reg.exe' ADD HKEY_CURRENT_USER\Software\JiuFeng\Mermaid /v ICoVisible /t REG_SZ /d "0" /F
- '<SYSTEM32>\wscript.exe' "%PROGRAM_FILES%\Gerver\Gerver\PO.vbs"
- '<SYSTEM32>\wscript.exe' "%PROGRAM_FILES%\Gerver\P2.vbs"
- '<SYSTEM32>\reg.exe' ADD HKEY_CURRENT_USER\Software\JiuFeng\Mermaid /v beizhu /t REG_SZ /d "б╛╠ъ╣т╥ї├лб┐" /F
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Windows NT\poA\Winiogon.exe
- %PROGRAM_FILES%\Gerver\Gerver0\svchosL.exe
- %PROGRAM_FILES%\Windows NT\poA\sys.ini
- %PROGRAM_FILES%\Gerver\P2.vbs
- %PROGRAM_FILES%\Gerver\Gerver\po.scf
- %PROGRAM_FILES%\Gerver\Gerver\po.txt
- %PROGRAM_FILES%\Gerver\Gerver\PO.vbs
- %PROGRAM_FILES%\Gerver\Gerver\111.VBS
- %PROGRAM_FILES%\Gerver\Gerver0\sys.ini
- %PROGRAM_FILES%\Gerver\Gerver\po.bat
Удаляет следующие файлы:
- %PROGRAM_FILES%\Gerver\Gerver\PO.vbs
- %PROGRAM_FILES%\Gerver\Gerver\po.txt
- %PROGRAM_FILES%\Gerver\P2.vbs
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
