Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'SystemMonitoring' = '<SYSTEM32>\1sass.exe'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'SystemServices' = '<SYSTEM32>\SERVlCES.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует:
- Компонент восстановления системы (SR)
изменяет следующие системные настройки:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000001'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000001'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\1sass.exe
- %WINDIR%\syswow64\servlces.exe
- %WINDIR%\syswow64\about_mp.html
- C:\meutya_hafid.exe
- C:\zelda_savitri.exe
- C:\wianda_pusponegoro.exe
- C:\gadiza_fauzi.exe
- C:\frida_lidwina.exe
- C:\najwa_sihab.exe
- C:\kania_sutisnawinata.exe
- C:\prita_laura.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\1sass.exe
- %WINDIR%\syswow64\servlces.exe
- %WINDIR%\syswow64\about_mp.html
Другое
Ищет следующие окна
- ClassName: 'WorkerW' WindowName: ''
- ClassName: 'ReBarWindow32' WindowName: ''
- ClassName: 'ComboBoxEx32' WindowName: ''
- ClassName: 'ComboBox' WindowName: ''
- ClassName: 'Edit' WindowName: ''
- ClassName: 'ExploreWClass' WindowName: ''
