Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Создает и запускает на исполнение:
- %WINDIR%\mstwain32.exe
- %TEMP%\foto.exe
Запускает на исполнение:
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v MCAgentExe /f
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v McRegWiz /f
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v MCUpdateExe /f
- <SYSTEM32>\taskkill.exe /f /im mcvsftsn.exe
- <SYSTEM32>\taskkill.exe /f /im mcvsshld.exe
- <SYSTEM32>\taskkill.exe /f /im McVSEscn.exe
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v APVXDWIN /f
- <SYSTEM32>\reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 1
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 1
- <SYSTEM32>\reg.exe add HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore /v DisableRegistryTools /t REG_DWORD /d 1
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v CleanUp /f
- <SYSTEM32>\reg.exe delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v VirusScan Online /f
- <SYSTEM32>\reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1
- <SYSTEM32>\net1.exe stop "Panda anti-virus service"
- <SYSTEM32>\taskkill.exe /f /im AVENGINE.exe
- <SYSTEM32>\taskkill.exe /f /im pavsrv51.exe
- <SYSTEM32>\taskkill.exe /f /im psimreal.exe
- <SYSTEM32>\taskkill.exe /f /im ApVxdWin.exe
- <SYSTEM32>\rundll32.exe <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\hacker1.jpg
- <SYSTEM32>\taskkill.exe /f /im egui.exe
- <SYSTEM32>\taskkill.exe /f /im ekrn.exe
- <SYSTEM32>\taskkill.exe /f /im mcdash.exe
- <SYSTEM32>\taskkill.exe /f /im mghtml.exe
- <SYSTEM32>\taskkill.exe /f /im mcmnhdlr.exe
- <SYSTEM32>\taskkill.exe /f /im mcagent.exe
- <SYSTEM32>\taskkill.exe /f /im PsImSvc.exe
- <SYSTEM32>\taskkill.exe /f /im WebProxy.exe
- <SYSTEM32>\net.exe stop "Panda anti-virus service"
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %WINDIR%\ntdtcstp.dll
Завершает или пытается завершить
следующие пользовательские процессы:
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass' WindowName: ''
- ClassName: '' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'FilemonClass' WindowName: ''
- ClassName: '' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''