Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'WannaDie' = '<Полный путь к файлу>'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] 'Debugger' = '<Полный путь к файлу>'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
изменяет следующие системные настройки:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000001'
удаляет теневые копии разделов.
Изменения в файловой системе
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'taskmgr.exe'
- ClassName: '' WindowName: 'ÈÎÎñ¹ÜÀГÆ÷.exe'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\icacls.exe' . /grant Everyone:F /T /C /Q' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -q...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\icacls.exe' . /grant Everyone:F /T /C /Q
- '%WINDIR%\syswow64\cmd.exe' /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -q...
- '%WINDIR%\syswow64\vssadmin.exe' delete shadow /all /quiet
