Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'GrpConv' = 'grpconv -o'
- [<HKLM>\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command] '' = '<SYSTEM32>\grpconv.exe %1'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa] 'DllName' = 'antiwpa.dll'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa] 'Logon' = 'onLogon'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\RarSFX0\AntiWPA3.exe
- %TEMP%\RarSFX0\wgafix.exe
- %TEMP%\RarSFX0\lisans.exe
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe setupapi,InstallHinfSection DEL_OOBE_ACTIVATE 132 syssetup.inf
- <SYSTEM32>\runonce.exe -r
- <SYSTEM32>\grpconv.exe -o
- %WINDIR%\regedit.exe /s WindowsLicence.reg
- <SYSTEM32>\cmd.exe /c ""%TEMP%\RarSFX1\AntiWPA3.cmd" "
- <SYSTEM32>\regsvr32.exe /s x86\antiwpa.dll
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX1\M\1.jpg
- %TEMP%\RarSFX1\M\2.jpg
- %TEMP%\RarSFX1\IA64\antiwpa.dll
- %TEMP%\RarSFX1\M\Thumbs.db
- %TEMP%\RarSFX1\M\3.jpg
- %TEMP%\RarSFX1\M\6.jpg
- <SYSTEM32>\antiwpa.dll
- %TEMP%\RarSFX1\M\4.jpg
- %TEMP%\RarSFX1\M\5.jpg
- %TEMP%\RarSFX1\AMD64\antiwpa.dll
- %TEMP%\RarSFX0\wgafix.exe
- %TEMP%\RarSFX0\WindowsLicence.reg
- %TEMP%\RarSFX0\AntiWPA3.exe
- %TEMP%\RarSFX0\lisans.exe
- %TEMP%\nsu2.tmp
- %TEMP%\RarSFX1\AntiWPA3.cmd
- %TEMP%\RarSFX1\X86\antiwpa.dll
- %TEMP%\nsz3.tmp\System.dll
- <DRIVERS>\etc\hosts1.bak
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\RarSFX1\M\Thumbs.db
Удаляет следующие файлы:
- %TEMP%\RarSFX0\AntiWPA3.exe
- %TEMP%\nsz3.tmp\System.dll
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
