Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'NVIDIA driver monitor' = '%WINDIR%\nvsvc32.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'NVIDIA driver monitor' = '%WINDIR%\nvsvc32.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run] 'NVIDIA driver monitor' = '%WINDIR%\nvsvc32.exe'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' = '%WINDIR%\M...
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' = '%WINDIR%\n...
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram 1.exe 1 ENABLE
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\nvsvc32.exb
- %WINDIR%\nvsvc32.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\nvsvc32.exe
Удаляет следующие файлы
- %WINDIR%\nvsvc32.exb
Изменяет файл HOSTS.
Другое
Создает и запускает на исполнение
- '%WINDIR%\nvsvc32.exe'
- '%WINDIR%\nvsvc32.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram 1.exe 1 ENABLE' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe'
