Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'vmkey.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Запускает на исполнение:
- <SYSTEM32>\reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 1 /f
- <SYSTEM32>\reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives /t REG_DWORD /d 4 /f
- <SYSTEM32>\taskkill.exe /F /IM Explorer.exe /IM TaskMgr.exe /IM Regedit.exe /IM Iexplore.exe /IM FireFox.exe /IM Opera.exe /IM Chrome.exe
- <SYSTEM32>\reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- iexplore.exe
- opera.exe
- chrome.exe
- firefox.exe
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoDrives' = '00000004'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\vmkey.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\vmkey.exe
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
