Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- <SYSTEM32>\taskkill.exe /f /im McVSEscn.exe
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v APVXDWIN /f
- <SYSTEM32>\taskkill.exe /f /im mcvsftsn.exe
- <SYSTEM32>\taskkill.exe /f /im mcmnhdlr.exe
- <SYSTEM32>\net1.exe stop "Panda anti-virus service"
- <SYSTEM32>\taskkill.exe /f /im mcvsshld.exe
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v CleanUp /f
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v VirusScan Online /f
- <SYSTEM32>\rundll32.exe <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen "%TEMP%\eu.png"
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v MCAgentExe /f
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v McRegWiz /f
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v MCUpdateExe /f
- <SYSTEM32>\taskkill.exe /f /im AVENGINE.exe
- <SYSTEM32>\taskkill.exe /f /im pavsrv51.exe
- <SYSTEM32>\taskkill.exe /f /im psimreal.exe
- <SYSTEM32>\taskkill.exe /f /im egui.exe
- <SYSTEM32>\taskkill.exe /f /im ekrn.exe
- <SYSTEM32>\taskkill.exe /f /im ApVxdWin.exe
- <SYSTEM32>\taskkill.exe /f /im mcagent.exe
- <SYSTEM32>\taskkill.exe /f /im mcdash.exe
- <SYSTEM32>\taskkill.exe /f /im mghtml.exe
- <SYSTEM32>\taskkill.exe /f /im PsImSvc.exe
- <SYSTEM32>\taskkill.exe /f /im WebProxy.exe
- <SYSTEM32>\net.exe stop "Panda anti-virus service"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\eu.png
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
