Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\system.ini
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\amsint32] 'ImagePath' = '<DRIVERS>\hnlifn.sys'
Заражает следующие исполняемые файлы
- <Имя диска съемного носителя>:\notepad.exe
- <Имя диска съемного носителя>:\jre-7u75-windows-i586-iftw.exe
- <Имя диска съемного носителя>:\chromesetup.exe
- <Имя диска съемного носителя>:\calc.exe
- <Имя диска съемного носителя>:\tcm851ax32.exe
- %ALLUSERSPROFILE%\application data\adobe\setup\{ac76ba86-7ad7-1033-7b44-aa1000000001}\setup.exe
- %ProgramFiles%\microsoft office\office12\excel.exe
- %ProgramFiles%\microsoft office\office12\winword.exe
- %ProgramFiles%\microsoft office\office12\powerpnt.exe
- %ProgramFiles%\microsoft office\office12\infopath.exe
- %ProgramFiles%\opera\launcher.exe
- %ProgramFiles%\adobe\reader 10.0\reader\acrord32.exe
- %ProgramFiles%\microsoft office\office12\msohtmed.exe
- %ProgramFiles%\Microsoft Office\Office12\OIS.EXE
- %ProgramFiles%\winrar\winrar.exe
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\toqms.exe
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к файлу>' = '<Полный путь к файлу>:*:Enabled:ipsec'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\Explorer.EXE' = '%WINDIR%\Explorer.EXE:*:Enabled:ipsec'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует запуск следующих системных утилит:
- Центр обеспечения безопасности (Security Center)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
- Центр обеспечения безопасности (Security Center)
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ctfmon.exe
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\windsaiot.exe
- %TEMP%\winbrbloe.exe
- <DRIVERS>\hnlifn.sys
- %TEMP%\winehhomd.exe
- amsint32
- %TEMP%\ugrrvw.exe
- C:\autorun.inf
- C:\cubhx.exe
- D:\autorun.inf
- D:\kqkps.exe
Присваивает атрибут 'скрытый' для следующих файлов
- C:\autorun.inf
- C:\cubhx.exe
- D:\autorun.inf
- D:\kqkps.exe
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\toqms.exe
Удаляет следующие файлы
- %TEMP%\windsaiot.exe
- %TEMP%\winbrbloe.exe
- <DRIVERS>\hnlifn.sys
- %TEMP%\winehhomd.exe
- %TEMP%\ugrrvw.exe
