Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\exefile\shell\open\command] '' = '"%1" %*'
- [<HKLM>\SOFTWARE\Classes\.bat] '' = ' '
- [<HKLM>\SOFTWARE\Classes\.cmd] '' = ' '
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im clamscan.exe
- '<SYSTEM32>\taskkill.exe' /f /im core.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\0\qt7sgXPTDyxwWVvrKN1BaZJSEcfeMm6FklpR20GzhoY35.pdf
- C:\0\K7OlvmNXi3oEqsCnZdeIS9RwxPWhUz2DHupBFAbkf0G16.JPG
- C:\0\XxypY2OwlsRgvcAe1Ka96IrmjHJGSzC0NVPfZWdbBTokF.png
- C:\0\qzIBsc0bi1Pdt52aDFJxLTpf7Ygv3RKykOHZ6mnUhreNl.gif
- <Текущая директория>\stat.txt
- <Текущая директория>\stio.bin
- C:\0\DtWJPO6MBNpTLwhHc1EVCFbUavG8ASjkgYIZonzXm35ef.rtf
- C:\0\1mNvaMVYudiGZ4FST2qQbR3k7lozc9B6IALC5gKOHteUs.docx
Удаляет следующие файлы:
- <Текущая директория>\stio.bin
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: '' WindowName: ''
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c assoc .cmd= & assoc .bat= & if exist <SYSTEM32>\cscript.exe ren <SYSTEM32>\cscript.exe cscript.bb.exe & if exist %windir%\SysWOW64\cscript.exe ren %windir%\SysWOW64\cscript.exe cscript.bb.ex...
- '<SYSTEM32>\cmd.exe' /c copy client\*.* %SystemDrive%\AV
- '<SYSTEM32>\reg.exe' add HKCR\exefile\shell\open\command /ve /d "\"%1\" %*" /f
- '<SYSTEM32>\cmd.exe' /c lib.dll x -o+ basec.dll && move /y dbase db\dbase.dat
- '<SYSTEM32>\reg.exe' ADD "HKCU\Software\Sysinternals\PsExec" /v EulaAccepted /t REG_DWORD /d 1 /f
- '%WINDIR%\regedit.exe' /s "%ProgramFiles%\Kuranin\ADMIN.reg"
