Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'WMAFile'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'Pwner' = '%WINDIR%\svchost.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PWNAGE' = '<DRIVERS>\svchost.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- <SYSTEM32>\attrib.exe +h c:\msg.vbs
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices /v Pwner /t REG_SZ /d %WINDIR%\svchost.exe /f
- <SYSTEM32>\wscript.exe "c:\msg.vbs"
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoUserNameInStartMenu" /d "1" /f
- <SYSTEM32>\attrib.exe +r +a +s +h <SYSTEM32>
- <SYSTEM32>\rundll32.exe user32,SwapMouseButton
- <SYSTEM32>\reg.exe add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f
- <SYSTEM32>\netsh.exe firewall set opmode disable
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v PWNAGE /t REG_SZ /d <DRIVERS>\svchost.exe /f
- <SYSTEM32>\taskkill.exe /f /im Enabled !
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoUserNameInStartMenu' = '1'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\14437.4236
- <SYSTEM32>\6196.23317
- %WINDIR%\9812.25758
- <SYSTEM32>\31134.21907
- %WINDIR%\473.25663
- <SYSTEM32>\8302.32236
- %WINDIR%\15039.8724
- <SYSTEM32>\30366.4921
- %WINDIR%\15304.17217
- <SYSTEM32>\4731.23057
- %WINDIR%\28911.31519
- <SYSTEM32>\22154.10699
- %WINDIR%\23049.12902
- <SYSTEM32>\23254.25884
- %WINDIR%\13045.23835
- <SYSTEM32>\11331.12471
- %WINDIR%\3584.6631
- <SYSTEM32>\8161.4630
- %WINDIR%\3493.5374
- <SYSTEM32>\13197.28462
- %WINDIR%\17690.20125
- <SYSTEM32>\24366.31068
- %WINDIR%\27515.23026
- <SYSTEM32>\31796.18196
- %WINDIR%\18778.14730
- <SYSTEM32>\25824.3165
- %WINDIR%\10900.10351
- <SYSTEM32>\16009.24836
- %WINDIR%\10305.10291
- <SYSTEM32>\16973.5466
- %WINDIR%\8820.20348
- <SYSTEM32>\10186.31712
- %WINDIR%\14091.13299
- <SYSTEM32>\15320.25646
- %WINDIR%\844.23967
- <SYSTEM32>\26343.3962
- %WINDIR%\24814.440
- <SYSTEM32>\29684.2550
- %WINDIR%\29270.29889
- <SYSTEM32>\29244.711
- %WINDIR%\12450.22859
- <SYSTEM32>\16709.8592
- %WINDIR%\5967.19671
- <SYSTEM32>\28792.25114
- %WINDIR%\15376.5192
- <SYSTEM32>\29626.9736
- %WINDIR%\19631.31931
- <SYSTEM32>\10882.10653
- %WINDIR%\5765.3174
- <SYSTEM32>\26915.20110
- %WINDIR%\20571.13172
- <SYSTEM32>\5274.17929
- %WINDIR%\3180.5963
- <SYSTEM32>\17687.21133
- %WINDIR%\9802.3943
- <SYSTEM32>\23810.30605
- %WINDIR%\19023.17746
- <SYSTEM32>\8632.29314
- %WINDIR%\7266.17589
- <SYSTEM32>\10706.12392
- C:\2399.txt
- C:\4687.txt
- C:\20059.txt
- C:\26023.txt
- C:\32263.txt
- C:\14453.txt
- C:\18948.txt
- C:\24553.txt
- C:\7985.txt
- C:\6309.txt
- C:\11522.txt
- C:\14058.txt
- C:\11388.txt
- C:\5430.txt
- C:\28824.txt
- C:\13208.txt
- C:\23452.txt
- C:\24156.txt
- C:\16260.txt
- <Текущая директория>\2448UV7V.bat
- C:\7147.txt
- C:\8846.txt
- C:\14052.txt
- C:\26196.txt
- C:\28304.txt
- C:\6667.txt
- C:\14498.txt
- C:\26169.txt
- C:\12225.txt
- C:\7650.txt
- %WINDIR%\24679.16445
- <SYSTEM32>\25146.241
- %WINDIR%\31538.7152
- <SYSTEM32>\10727.16603
- C:\17465.txt
- C:\5033.txt
- C:\msg.vbs
- <SYSTEM32>\4899.18806
- %WINDIR%\12164.4087
- <SYSTEM32>\21720.14526
- %WINDIR%\1503.17073
- <SYSTEM32>\13159.21227
- %WINDIR%\6697.14004
- <SYSTEM32>\14360.26130
- %WINDIR%\24615.22155
- C:\15610.txt
- C:\18381.txt
- C:\15541.txt
- C:\13731.txt
- C:\31269.txt
- C:\9688.txt
- C:\1210.txt
- C:\12490.txt
- C:\24930.txt
- C:\296.txt
- C:\29723.txt
- C:\1930.txt
- C:\18732.txt
- C:\5617.txt
- C:\6525.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\msg.vbs
- <Текущая директория>\2448UV7V.bat
Удаляет следующие файлы:
- <Текущая директория>\2448UV7V.bat
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
