Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\HackerDefender100] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\r_server] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\hxdef100.exe -:installonly
- <SYSTEM32>\r_server.exe /service /install /silence /uninstall /silence
Запускает на исполнение:
- %WINDIR%\regedit.exe /s r_server.reg
- <SYSTEM32>\net1.exe start r_server
- <SYSTEM32>\wscript.exe "<SYSTEM32>\radmin.vbs"
- %WINDIR%\regedit.exe /s RAdmin.reg
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\r_server.exe
- <SYSTEM32>\hxdef100.exe
- <SYSTEM32>\raddrv.dll
- <SYSTEM32>\AdmDll.dll
- <SYSTEM32>\radmin.reg
- <SYSTEM32>\radmin.vbs
- <SYSTEM32>\hxdef100.ini
- <SYSTEM32>\r_server.reg
Удаляет следующие файлы:
- <SYSTEM32>\radmin.reg
- <SYSTEM32>\r_server.reg
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
