Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\runonce] 'Char' = '<SYSTEM32>\charity.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WINReG' = '<SYSTEM32>\charity.exe'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Windows Firewall.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- %ALLUSERSPROFILE%\drama\temp\bat.exe
Запускает на исполнение:
- <SYSTEM32>\reg.exe add hkey_current_user\software\microsoft\windows\currentversion\runonce /v Char /t reg_sz /d <SYSTEM32>\charity.exe /f
- <SYSTEM32>\reg.exe add hkey_local_machine\software\microsoft\windows\currentversion\run /v WINReG /t reg_sz /d <SYSTEM32>\charity.exe /f
- <SYSTEM32>\cmd.exe /c ""%TEMP%\bat.bat" > NUL"
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\drama\temp\actmovie.$AA
- %TEMP%\bat.bat
- %ALLUSERSPROFILE%\drama\temp\bat.$$A
- %ALLUSERSPROFILE%\drama\temp\actmovie.$$A
Удаляет следующие файлы:
- %ALLUSERSPROFILE%\drama\temp\bat.exe
- %TEMP%\bat.bat
- %ALLUSERSPROFILE%\drama\temp\actmovie.$$A
Перемещает следующие файлы:
- %ALLUSERSPROFILE%\drama\temp\actmovie.$$A в %ALLUSERSPROFILE%\drama\temp\actmovie.exe
- %ALLUSERSPROFILE%\drama\temp\actmovie.$AA в %ALLUSERSPROFILE%\drama\temp\actmovie.$$A
- %ALLUSERSPROFILE%\drama\temp\bat.$$A в %ALLUSERSPROFILE%\drama\temp\bat.exe
Другое:
Ищет следующие окна:
- ClassName: 'InstItClass' WindowName: ''
