Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce] 'LicChk' = '%LOCALAPPDATA%\<Имя файла>.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\<Имя файла>.exe
- C:\users\public\868fb49b9f19b3634a9ced5ea209b1b24713548c
- D:\how_to_recovery.txt
Изменяет следующие файлы
- D:\install.log
- <Имя диска съемного носителя>:\dashborder_120.bmp
- <Имя диска съемного носителя>:\coffee.bmp
- <Имя диска съемного носителя>:\dialmap.bmp
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c vssadmin.exe Delete Shadows /All /Quiet reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Se...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c vssadmin.exe Delete Shadows /All /Quiet reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Se...
