Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\MPservice] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <DRIVERS>\sc.exe config wuauserv depend= MPservice
- <DRIVERS>\sc.exe start MPservice
- <DRIVERS>\svchost.exe /service
- <DRIVERS>\sc.exe description MPservice ╩╣╝╞╦у╗·╫╘╢п╩╩╙ж╙▓╝■╡─╕№╕─бг╓╨╓╣┤╦╖■╬ё╜л╩╣╧╡═│▓╗╬╚╢ибг
- <DRIVERS>\sc.exe stop r_server
- <DRIVERS>\sc.exe delete r_server
- <DRIVERS>\sc.exe create MPservice binpath= "<DRIVERS>\svchost.exe /service" type= own type= interact start= auto DisplayName= "plug"
Запускает на исполнение:
- <SYSTEM32>\attrib.exe +h +r "<DRIVERS>\svchost.exe"
- <SYSTEM32>\attrib.exe +h +r "<DRIVERS>\AdmDll.dll"
- <SYSTEM32>\attrib.exe +h +r "<DRIVERS>\raddrv.dll"
- %WINDIR%\regedit.exe /s 8088.reg
- <SYSTEM32>\wscript.exe "<DRIVERS>\s.vbs"
- <SYSTEM32>\cmd.exe /c ""<DRIVERS>\s.bat" "
- %WINDIR%\regedit.exe /s radmin.reg
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\s.vbs
- <DRIVERS>\s.bat
- <DRIVERS>\8088.reg
- <DRIVERS>\sc.exe
- <DRIVERS>\AdmDll.dll
- <DRIVERS>\svchost.exe
- <DRIVERS>\radmin.reg
- <DRIVERS>\raddrv.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- <DRIVERS>\raddrv.dll
- <DRIVERS>\AdmDll.dll
- <DRIVERS>\svchost.exe
Удаляет следующие файлы:
- <DRIVERS>\sc.exe
- <DRIVERS>\8088.reg
- <DRIVERS>\radmin.reg
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
