Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'svchost' = '%TEMP%\svchost.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует:
- Центр обеспечения безопасности (Security Center)
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\rundll32.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\thepath.dat
- %TEMP%\windows update.exe
- %TEMP%\svchost.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\thepath.dat
- %TEMP%\windows update.exe
- %TEMP%\svchost.exe
Изменяет файл HOSTS.
Другое
Создает и запускает на исполнение
- '%TEMP%\windows update.exe'
- '%WINDIR%\syswow64\shutdown.exe' /r /t 0' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\shutdown.exe' /r /t 0
- '%WINDIR%\syswow64\rundll32.exe'
Пытается завершить работу операционной системы Windows.
