Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'XO1XADpO01' = '"<Полный путь к файлу>"'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\restore-my-files.txt
- <Имя диска съемного носителя>:\dialmap.bmp
- <Имя диска съемного носителя>:\toolbar.bmp
- <Имя диска съемного носителя>:\testcertificate.cer
- <Имя диска съемного носителя>:\testee.cer
- <Имя диска съемного носителя>:\contoso_1.cer
- <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
- <Имя диска съемного носителя>:\contosoroot.cer
- <Имя диска съемного носителя>:\sdksampleunprivdeveloper.cer
- <Имя диска съемного носителя>:\contoso.cer
- <Имя диска съемного носителя>:\applicantform_en.doc
- <Имя диска съемного носителя>:\holycrosschurchinstructions.docx
- <Имя диска съемного носителя>:\sdszfo.docx
- <Имя диска съемного носителя>:\file_p_00000000_1371597592.docx
- <Имя диска съемного носителя>:\thlps_keeper_mayer_1965.docx
Вредоносные функции
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog ...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog ...
