Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '¼«Óò±£»¤³ÌÐò' = '<Полный путь к файлу>'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Интерпретатора командной строки (CMD)
изменяет следующие системные настройки:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoControlPanel' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoClose' = '00000001'
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' -f /im cmd.exe
- '%WINDIR%\syswow64\taskkill.exe' -f /im regedit.exe
- '%WINDIR%\syswow64\taskkill.exe' -f /im taskmgr.exe
- '%WINDIR%\syswow64\taskkill.exe' -f /im mmc.exe
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' -f /im cmd.exe' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' -f /im regedit.exe' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' -f /im taskmgr.exe' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' -f /im mmc.exe' (со скрытым окном)
