Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Iniciador do Windows Media Player' = '%ProgramFiles(x86)%\Windows Media Player\setup_winmediaplay.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop WinDefend
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\windows media player\setup_winmediaplay.exe
- %ProgramFiles(x86)%\windows media player\rcxf776.tmp
- %ProgramFiles(x86)%\windows media player\rcxfbcd.tmp
- %ProgramFiles(x86)%\windows media player\rcxfebc.tmp
Перемещает следующие файлы
- %ProgramFiles(x86)%\windows media player\rcxf776.tmp в %ProgramFiles(x86)%\windows media player\setup_winmediaplay.exe
- %ProgramFiles(x86)%\windows media player\rcxfbcd.tmp в %ProgramFiles(x86)%\windows media player\setup_winmediaplay.exe
- %ProgramFiles(x86)%\windows media player\rcxfebc.tmp в %ProgramFiles(x86)%\windows media player\setup_winmediaplay.exe
Сетевая активность
UDP
- DNS ASK ab#####ortovelho.com.br
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop WinDefend' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete WinDefend' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' delete WinDefend
- '%WINDIR%\syswow64\net1.exe' stop WinDefend
