Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '1' = '"<Полный путь к файлу>"'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\toolbar.bmp
- <Имя диска съемного носителя>:\coffee.bmp
- <Имя диска съемного носителя>:\default.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\dial.bmp
- <Имя диска съемного носителя>:\dashborder_144.bmp
- <Имя диска съемного носителя>:\contosoroot.cer
- <Имя диска съемного носителя>:\sdkfailsafeemulator.cer
- <Имя диска съемного носителя>:\sdksampleunprivdeveloper.cer
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\vssvc.exe
- <SYSTEM32>\wbengine.exe
- <SYSTEM32>\vds.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\logs\windowsbackup\wbadmin.0.etl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\vssvc.exe'
- '<SYSTEM32>\svchost.exe' -k swprv
- '<SYSTEM32>\wbadmin.exe' delete catalog -quiet
- '<SYSTEM32>\wbengine.exe'
- '<SYSTEM32>\vds.exe'
