Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Autorun.SQL' = '%WINDIR%\svhost.exe'
- [<HKLM>\Software\Classes\EncriptIDfile\Shell\Open\Command] '' = '%WINDIR%\SysWOW64\mshta.exe "%C:\Data recovery.hta"'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\data recovery.hta
- <Имя диска съемного носителя>:\dialmap.bmp
- <Имя диска съемного носителя>:\sdszfo.docx
- <Имя диска съемного носителя>:\thlps_keeper_mayer_1965.docx
- <Имя диска съемного носителя>:\calc.exe
- <Имя диска съемного носителя>:\about.htm
- <Имя диска съемного носителя>:\tree_view.htm
- <Имя диска съемного носителя>:\iisstart.htm
- <Имя диска съемного носителя>:\tree_view.html
- <Имя диска съемного носителя>:\iisstart.html
- <Имя диска съемного носителя>:\browse.html
- <Имя диска съемного носителя>:\trivial-merge.html
- <Имя диска съемного носителя>:\iso27k_isms_implementation_and_certification_process_overview_v2.pptx
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\svhost.exe
- <Текущая директория>\data recovery.hta
- %WINDIR%\delog.bat
- C:\data recovery.hta
- D:\data recovery.hta
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\svhost.exe
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\delog.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\delog.bat" "
- '%WINDIR%\syswow64\cmd.exe' /c bcdedit
- '%WINDIR%\syswow64\cmd.exe' /c wevtutil.exe el
