Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'msorcvp' = '%WINDIR%\msorcvp.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'msorcvp' = '%WINDIR%\msorcvp.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices] 'msorcvp' = '%WINDIR%\msorcvp.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'lsassv' = '%WINDIR%\lsassv.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'msrpc' = '%WINDIR%\msrpc.exe'
Устанавливает следующие настройки сервисов
- [<HKLM>\SYSTEM\CurrentControlSet\Services\msorcvp] 'ImagePath' = '%WINDIR%\msorcvp.exe'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\msorcvp] 'Start' = '00000002'
Создает следующие сервисы
- 'msorcvp' %WINDIR%\msorcvp.exe
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к файлу>' = '<Полный путь к файлу>:*:Enabled:System U...
Ищет следующие окна с целью
обхода системы защиты файлов Windows (WFP):
- ClassName: '', WindowName: 'Windows File Protection'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\msorcvp.exe
- %WINDIR%\mui\rctfd.sys
- %WINDIR%\lsassv.exe
- %WINDIR%\msrpc.exe
- %WINDIR%\calc.exe
- %WINDIR%\regedit2.exe
- C:\documents and settings\all users\start menu\programs\startup\adobegammaloader.scr
Другое
Ищет следующие окна
- ClassName: 'Button' WindowName: ''
- ClassName: '' WindowName: 'Çà ùèòà ôà éëîâ Windows'
