Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'b22f383fedf6d711ce6361c0f2d98c1e' = '%TEMP%\Microsoft\GTAO_SilentMod_by_Tino.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\GTAO_SilentMod_by_Tino.exe
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\GTAO_SilentMod_by_Tino.lime.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /F /IM cmd.exe
- '<SYSTEM32>\taskkill.exe' /F /IM wscript.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\ctfmon.exe.new
- %TEMP%\Microsoft\GTAO_SilentMod_by_Tino.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\GTAO_SilentMod_by_Tino.lime.exe
- %HOMEPATH%\Start Menu\Programs\Startup\GTAO_SilentMod_by_Tino.exe
- %TEMP%\Microsoft\GTAO_SilentMod_by_Tino.exe
Перемещает следующие системные файлы:
- <SYSTEM32>\ctfmon.exe в %TEMP%\42395
Сетевая активность:
Подключается к:
- 'localhost':666
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: '' WindowName: 'AngarCl'
