Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\eventcreate
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\correct.avi
- <Имя диска съемного носителя>:\kh4o5f_r_e_a_d___t_h_i_s_kh4o5f.txt
- <Имя диска съемного носителя>:\1flllpb_r_e_a_d___t_h_i_s_1flllpb.jpg
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /pid 2332
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\36d1130a\44f7.tmp
- %TEMP%\36d1130a\ac2e.tmp
- %APPDATA%\{45a2c125-c2d1-6c94-2e26-d4a4391461a9}\eventcreate.exe
- nul
Самоудаляется.
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\{45a2c125-c2d1-6c94-2e26-d4a4391461a9}\eventcreate.exe'
- '%WINDIR%\syswow64\cmd.exe' /d /c taskkill /f /pid 2332 > NUL & ping -n 1 127.0.0.1 > NUL & del "<Полный путь к файлу>" > NUL & exit' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\vssvc.exe'
- '<SYSTEM32>\svchost.exe' -k swprv
- '%WINDIR%\syswow64\cmd.exe' /d /c taskkill /f /pid 2332 > NUL & ping -n 1 127.0.0.1 > NUL & del "<Полный путь к файлу>" > NUL & exit
- '%WINDIR%\syswow64\ping.exe' -n 1 127.0.0.1
