Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set opmode disable
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut9.tmp
- <Текущая директория>\data\firewall.bat
- %TEMP%\autA.tmp
- <Текущая директория>\data\prnport.vbs
- %TEMP%\aut8.tmp
- <Текущая директория>\data\SecuPolicy.inf
- <Текущая директория>\SendRst.exe
- <SYSTEM32>\7z.exe
- %TEMP%\autD.tmp
- <SYSTEM32>\7z.dll
- %TEMP%\autB.tmp
- <Текущая директория>\data\version.ini
- %TEMP%\autC.tmp
- <Текущая директория>\data\4530.jpg
- %TEMP%\aut3.tmp
- <Текущая директория>\data\8580.jpg
- %TEMP%\aut1.tmp
- <Текущая директория>\data\notebook2.ico
- %TEMP%\aut2.tmp
- %TEMP%\aut4.tmp
- %TEMP%\aut6.tmp
- <Текущая директория>\data\prncnfg.vbs
- %TEMP%\aut7.tmp
- <Текущая директория>\data\loading.gif
- %TEMP%\aut5.tmp
- <Текущая директория>\data\font.vbs
Удаляет следующие файлы:
- %TEMP%\autA.tmp
- %TEMP%\aut9.tmp
- %TEMP%\aut8.tmp
- %TEMP%\autD.tmp
- %TEMP%\autC.tmp
- %TEMP%\autB.tmp
- %TEMP%\aut7.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut6.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut4.tmp
Другое:
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' advfirewall set publicprofile state off
- '<SYSTEM32>\netsh.exe' advfirewall set privateprofile state off
- '<SYSTEM32>\cmd.exe' /c "<Текущая директория>\data\firewall.bat"
- '<SYSTEM32>\netsh.exe' advfirewall set domainprofile state off
