Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Обновления системы (Windows Update)
- Центр обеспечения безопасности (Security Center)
Изменения в файловой системе
Создает следующие файлы
- C:\a.bat
- %TEMP%\1.reg
- %WINDIR%\syswow64\nod64.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\nod64.exe
Удаляет следующие файлы
- %TEMP%\1.reg
Подменяет следующие файлы
- C:\a.bat
- %TEMP%\1.reg
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\nod64.exe' 424 "<Полный путь к файлу>"
- '%WINDIR%\syswow64\nod64.exe' 420 "%WINDIR%\SysWOW64\nod64.exe"
- '%WINDIR%\syswow64\nod64.exe' 444 "%WINDIR%\SysWOW64\nod64.exe"
- '%WINDIR%\syswow64\nod64.exe' 428 "%WINDIR%\SysWOW64\nod64.exe"
- '%WINDIR%\syswow64\nod64.exe' 432 "%WINDIR%\SysWOW64\nod64.exe"
- '%WINDIR%\syswow64\nod64.exe' 448 "%WINDIR%\SysWOW64\nod64.exe"
- '%WINDIR%\syswow64\nod64.exe' 436 "%WINDIR%\SysWOW64\nod64.exe"
- '%WINDIR%\syswow64\nod64.exe' 440 "%WINDIR%\SysWOW64\nod64.exe"
- '%WINDIR%\syswow64\nod64.exe' 436 "%WINDIR%\SysWOW64\nod64.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\nod64.exe' 444 "%WINDIR%\SysWOW64\nod64.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\nod64.exe' 440 "%WINDIR%\SysWOW64\nod64.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\nod64.exe' 424 "<Полный путь к файлу>"' (со скрытым окном)
- '%WINDIR%\syswow64\nod64.exe' 428 "%WINDIR%\SysWOW64\nod64.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\nod64.exe' 420 "%WINDIR%\SysWOW64\nod64.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\nod64.exe' 432 "%WINDIR%\SysWOW64\nod64.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c c:\a.bat' (со скрытым окном)
- '%WINDIR%\syswow64\nod64.exe' 448 "%WINDIR%\SysWOW64\nod64.exe"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c c:\a.bat
- '%WINDIR%\syswow64\regedit.exe' /S %TEMP%\1.reg
