Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'StubPath' = '"C:\Setup\CacheMgr.exe" -as'
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\eventchk] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\eventchk] 'ImagePath' = '<SYSTEM32>\inf\svchost.exe'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\system\controlset001\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] '<SYSTEM32>\inf\svchost.exe' = '<SYSTEM32>\inf\svchost.exe:*:Enabled:@x...
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\inf\svchost.exe
- C:\setup\cachemgr.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\inf\svchost.exe
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\inf\svchost.exe'
- 'C:\setup\cachemgr.exe' -as
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /q /c md "C:\Setup"
- '%WINDIR%\syswow64\cmd.exe' /q /c copy "<Полный путь к файлу>" "C:\Setup\CacheMgr.exe"
