Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\CRLFile\shell\open\command] '' = 'rundll32.exe cryptext.dll,CryptExtOpenCRL %1'
- [<HKLM>\SOFTWARE\Classes\P7RFile\shell\open\command] '' = 'rundll32.exe cryptext.dll,CryptExtOpenP7R %1'
- [<HKLM>\SOFTWARE\Classes\SPCFile\shell\open\command] '' = 'rundll32.exe cryptext.dll,CryptExtOpenPKCS7 %1'
- [<HKLM>\SOFTWARE\Classes\CERFile\shell\open\command] '' = 'rundll32.exe cryptext.dll,CryptExtOpenCER %1'
- [<HKLM>\SOFTWARE\Classes\CATFile\shell\open\command] '' = 'rundll32.exe cryptext.dll,CryptExtOpenCAT %1'
- [<HKLM>\SOFTWARE\Classes\STLFile\shell\open\command] '' = 'rundll32.exe cryptext.dll,CryptExtOpenCTL %1'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\net1.exe stop CryptSvc
- <SYSTEM32>\net.exe stop CryptSvc
- <SYSTEM32>\regsvr32.exe /s softpub.dll
- <SYSTEM32>\regsvr32.exe /s initpki.dll
- <SYSTEM32>\regsvr32.exe /s wintrust.dll
- <SYSTEM32>\ipconfig.exe /flushdns
- <SYSTEM32>\taskkill.exe /f /im iexplore.exe /t
- <SYSTEM32>\proxycfg.exe -d
- <SYSTEM32>\net1.exe stop wuauserv
- <SYSTEM32>\net.exe stop wuauserv
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\bt6418.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\bt6418.bat
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
