Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\software\Wow6432Node\microsoft\windows\currentversion\run] 'Microsoft OpenEXP' = '<Полный путь к файлу>'
- [<HKLM>\software\Wow6432Node\microsoft\windows nt\currentversion\winlogon] 'Shell' = '<Полный путь к файлу>'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM explorer.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM taskmgr.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM opera.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM yandex.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM chrome.exe
- '%WINDIR%\syswow64\taskkill.exe' /F /IM processhacker.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\explorer.exe
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM explorer.exe' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /F /IM taskmgr.exe' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /F /IM opera.exe' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /F /IM yandex.exe' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /F /IM chrome.exe' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /F /IM processhacker.exe' (со скрытым окном)
