Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rfwsrv.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMoD.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.EXE] 'Debugger' = 'D:\RECYCLER\????8.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] 'Debugger' = 'D:\RECYCLER\????8.exe'
Создает или изменяет следующие файлы
- %WINDIR%\tasks\at1.job
- %WINDIR%\tasks\at2.job
- %WINDIR%\tasks\at3.job
- %WINDIR%\tasks\at4.job
- %WINDIR%\tasks\at5.job
- %WINDIR%\tasks\at6.job
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\recyclep\pagefile.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует запуск следующих системных утилит:
- Центр обеспечения безопасности (Security Center)
изменяет следующие системные настройки:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'DisallowRun' = '00000001'
Запускает на исполнение
- '<SYSTEM32>\at.exe' 9:23:08 PM %WINDIR%\Help\HelpCat.exe
- '<SYSTEM32>\net.exe' stop wscsvc /y
- '<SYSTEM32>\net.exe' stop wuauserv /y
- '<SYSTEM32>\net.exe' stop sharedaccess /y
- '<SYSTEM32>\at.exe' 9:22:10 PM %WINDIR%\Sysinf.bat
- '<SYSTEM32>\net.exe' stop srservice /y
- '<SYSTEM32>\at.exe' 9:25:10 PM %WINDIR%\Sysinf.bat
- '<SYSTEM32>\net.exe' stop 360timeprot /y
- '<SYSTEM32>\at.exe' 9:23:18 PM %WINDIR%\Help\HelpCat.exe
- '<SYSTEM32>\at.exe' 9:25:20 PM %WINDIR%\Sysinf.bat
- '<SYSTEM32>\at.exe' 9:22:20 PM %WINDIR%\Sysinf.bat
Изменения в файловой системе
Создает следующие файлы
- C:\users\clouds~1\appdata\local\temp\lixbkh.exe
- <SYSTEM32>\option.bat
- C:\ntldr~6
- C:\ntldr~8
- %WINDIR%\system\kavupda.exe
- %WINDIR%\help\helpcat.exe
- %WINDIR%\sysinf.bat
- %WINDIR%\regedt32.sys
- C:\users\clouds~1\appdata\local\temp\lixbkh~4.exe
- D:\recyclep\pagefile.exe
- D:\autorun.inf
- C:\recyclep\pagefile.exe
- C:\autorun.inf
Присваивает атрибут 'скрытый' для следующих файлов
- <Имя диска съемного носителя>:\recyclep\pagefile.exe
- <Имя диска съемного носителя>:\autorun.inf
- C:\users\clouds~1\appdata\local\temp\lixbkh~4.exe
- D:\recyclep\pagefile.exe
- D:\autorun.inf
- C:\recyclep\pagefile.exe
- C:\autorun.inf
Удаляет следующие файлы
- %WINDIR%\regedt32.sys
- <Имя диска съемного носителя>:\autorun.inf
- D:\autorun.inf
- C:\autorun.inf
Подменяет следующие файлы
- %WINDIR%\regedt32.sys
- <Имя диска съемного носителя>:\autorun.inf
- D:\autorun.inf
- C:\autorun.inf
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- 'C:\users\clouds~1\appdata\local\temp\lixbkh.exe'
- 'C:\users\clouds~1\appdata\local\temp\lixbkh~4.exe'
- '%WINDIR%\system\kavupda.exe'
- '<SYSTEM32>\cmd.exe' /c rmdir D:\Autorun.inf /s /q' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c attrib -s -h -r D:\Autorun.inf\*.* /s /d' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c rmdir <Имя диска съемного носителя>:\Autorun.inf /s /q' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c attrib -s -h -r <Имя диска съемного носителя>:\Autorun.inf\*.* /s /d' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c at 9:25:20 PM %WINDIR%\Sysinf.bat' (со скрытым окном)
- '<SYSTEM32>\at.exe' 9:23:18 PM %WINDIR%\Help\HelpCat.exe' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c at 9:22:20 PM %WINDIR%\Sysinf.bat' (со скрытым окном)
- '%WINDIR%\system\kavupda.exe' ' (со скрытым окном)
- '<SYSTEM32>\reg.exe' delete "hklm\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /f' (со скрытым окном)
- '<SYSTEM32>\reg.exe' delete "hklm\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /f' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c rmdir C:\Autorun.inf /s /q' (со скрытым окном)
- '%WINDIR%\regedit.exe' /s %WINDIR%\regedt32.sys' (со скрытым окном)
- '<SYSTEM32>\sc.exe' config wscsvc start= disabled' (со скрытым окном)
- '<SYSTEM32>\sc.exe' config srservice start= disabled' (со скрытым окном)
- '<SYSTEM32>\net.exe' stop 360timeprot /y' (со скрытым окном)
- '<SYSTEM32>\net.exe' stop srservice /y' (со скрытым окном)
- '<SYSTEM32>\net.exe' stop sharedaccess /y' (со скрытым окном)
- '<SYSTEM32>\net.exe' stop wuauserv /y' (со скрытым окном)
- '<SYSTEM32>\net.exe' stop wscsvc /y' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c at 9:25:10 PM %WINDIR%\Sysinf.bat' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c at 9:22:10 PM %WINDIR%\Sysinf.bat' (со скрытым окном)
- '<SYSTEM32>\at.exe' 9:23:08 PM %WINDIR%\Help\HelpCat.exe' (со скрытым окном)
- '<SYSTEM32>\net.exe' start schedule /y' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\Option.bat' (со скрытым окном)
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c attrib -s -h -r C:\Autorun.inf\*.* /s /d' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\Option.bat
- '<SYSTEM32>\cmd.exe' /c rmdir C:\Autorun.inf /s /q
- '<SYSTEM32>\attrib.exe' -s -h -r D:\Autorun.inf\*.* /s /d
- '<SYSTEM32>\cmd.exe' /c rmdir D:\Autorun.inf /s /q
- '<SYSTEM32>\cmd.exe' /c attrib -s -h -r D:\Autorun.inf\*.* /s /d
- '<SYSTEM32>\attrib.exe' -s -h -r <Имя диска съемного носителя>:\Autorun.inf\*.* /s /d
- '<SYSTEM32>\cmd.exe' /c rmdir <Имя диска съемного носителя>:\Autorun.inf /s /q
- '<SYSTEM32>\cmd.exe' /c attrib -s -h -r <Имя диска съемного носителя>:\Autorun.inf\*.* /s /d
- '<SYSTEM32>\cmd.exe' /c at 9:25:20 PM %WINDIR%\Sysinf.bat
- '<SYSTEM32>\cmd.exe' /c at 9:22:20 PM %WINDIR%\Sysinf.bat
- '<SYSTEM32>\reg.exe' delete "hklm\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /f
- '<SYSTEM32>\reg.exe' delete "hklm\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /f
- '<SYSTEM32>\cmd.exe' /c attrib -s -h -r C:\Autorun.inf\*.* /s /d
- '%WINDIR%\regedit.exe' /s %WINDIR%\regedt32.sys
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
- '<SYSTEM32>\net1.exe' stop srservice /y
- '<SYSTEM32>\sc.exe' config wscsvc start= disabled
- '<SYSTEM32>\net1.exe' stop wuauserv /y
- '<SYSTEM32>\net1.exe' stop sharedaccess /y
- '<SYSTEM32>\sc.exe' config srservice start= disabled
- '<SYSTEM32>\net1.exe' stop wscsvc /y
- '<SYSTEM32>\cmd.exe' /c at 9:25:10 PM %WINDIR%\Sysinf.bat
- '<SYSTEM32>\cmd.exe' /c at 9:22:10 PM %WINDIR%\Sysinf.bat
- '<SYSTEM32>\net1.exe' start schedule /y
- '<SYSTEM32>\net.exe' start schedule /y
- '<SYSTEM32>\net1.exe' stop 360timeprot /y
- '<SYSTEM32>\attrib.exe' -s -h -r C:\Autorun.inf\*.* /s /d
