Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'Microsoft Windows Services' = '%WINDIR%\607450708407080650\winsvcs.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'Microsoft Windows Services' = '%WINDIR%\607450708407080650\winsvcs.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\.lnk
- <Имя диска съемного носителя>:\_\devicemanager.exe
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\delete.avi
- <Имя диска съемного носителя>:\split.avi
- <Имя диска съемного носителя>:\default.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\dialmap.bmp
- <Имя диска съемного носителя>:\dial.bmp
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Компонент восстановления системы (SR)
- Центр обеспечения безопасности (Security Center)
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\607450708407080650\winsvcs.exe
- %TEMP%\windows archive manager.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\607450708407080650\winsvcs.exe
- <Имя диска съемного носителя>:\.lnk
- <Имя диска съемного носителя>:\_\devicemanager.exe
- <Имя диска съемного носителя>:\autorun.inf
Сетевая активность
Подключается к
- '92.##.197.48':80
Другое
Создает и запускает на исполнение
- '%WINDIR%\607450708407080650\winsvcs.exe'
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\delete.avi", "<Имя диска съемного носителя>:\\_\delete.avi"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\split.avi", "<Имя диска съемного носителя>:\\_\split.avi"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\default.bmp", "<Имя диска съемного носителя>:\\_\default.bmp"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\tileimage.bmp", "<Имя диска съемного носителя>:\\_\tileimage.bmp"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dialmap.bmp", "<Имя диска съемного носителя>:\\_\dialmap.bmp"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dial.bmp", "<Имя диска съемного носителя>:\\_\dial.bmp"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contosoroot_1.cer", "<Имя диска съемного носителя>:\\_\contosoroot_1.cer"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\delete.avi", "<Имя диска съемного носителя>:\\_\delete.avi"
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\split.avi", "<Имя диска съемного носителя>:\\_\split.avi"
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\default.bmp", "<Имя диска съемного носителя>:\\_\default.bmp"
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\tileimage.bmp", "<Имя диска съемного носителя>:\\_\tileimage.bmp"
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dialmap.bmp", "<Имя диска съемного носителя>:\\_\dialmap.bmp"
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dial.bmp", "<Имя диска съемного носителя>:\\_\dial.bmp"
- '%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contosoroot_1.cer", "<Имя диска съемного носителя>:\\_\contosoroot_1.cer"
