Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\software\microsoft\windows\currentversion\run] '54101b5d' = '%ProgramFiles(x86)%\54101b5d\54101b5d.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\weeklysheet1215.doc
- <Имя диска съемного носителя>:\lisp_success.doc
- <Имя диска съемного носителя>:\correct.avi
- <Имя диска съемного носителя>:\aoc_saq_d_v3_merchant.docx
- <Имя диска съемного носителя>:\delete.avi
- <Имя диска съемного носителя>:\000814251_video_01.avi
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\archer.avi
- %HOMEPATH%\desktop\browse.html
- %HOMEPATH%\desktop\contosoroot.cer
- %HOMEPATH%\desktop\contosoroot_1.cer
- %HOMEPATH%\desktop\correct.avi
- %HOMEPATH%\desktop\dashborder_144.bmp
- %HOMEPATH%\desktop\dashborder_192.bmp
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\54101b5d\54101b5d.exe
- C:\totalcmd\54101-readme.txt
- C:\far2\54101-readme.txt
Перемещает следующие файлы
- %ProgramFiles(x86)%\microsoft office\office14\1033\vbaows10.chm в %ProgramFiles(x86)%\microsoft office\office14\1033\vbaows10.chm.mailto[2hamlampampom@cock.li].54101
Самоудаляется.
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\vssadmin.exe' delete shadows /all /quiet' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
- '<SYSTEM32>\vssvc.exe'
- '<SYSTEM32>\svchost.exe' -k swprv
