Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Classes\exefile\shell\open\command] '' = '"%ALLUSERSPROFILE%\install\app.exe"%1" %*"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\ms office.lnk
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Обновления системы (Windows Update)
- Центр обеспечения безопасности (Security Center)
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\classes\svcserv.exe
- %ALLUSERSPROFILE%\install\app.exe
- %ALLUSERSPROFILE%\install\1.reg
Удаляет следующие файлы
- %ALLUSERSPROFILE%\install\1.reg
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\install\app.exe'
- '%WINDIR%\syswow64\sc.exe' delete ccEvtMgr' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete DefWatch' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "Symantec AntiVirus"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "avast! Mail Scanne"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "avast! Antivirus"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete NSPService' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "Norman ZANDA"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete nvcoas' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete scheduler' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete SNDSrvc' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete Npsvc32' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "avast! Web Scanner"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete NSPUpdateService' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete Norman' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "F-Secure Gatekeeper Handler Starter"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete FSORSPClient' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete FSAUA' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete FSGKHS' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete NPROSECSVC' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete NSESVC' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete NiG' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete SharedAccess' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete SOLOSCAN' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete Vba32Ldr' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete VACompManService' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete AntiVirService' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete AntiVirWebService' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete a2free' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete InoRT' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete SAVSService' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete GuardX' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete NOD32Krn' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete vsmon' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete nvoy' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete aswUpdSv' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete wscsvc' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete wuauserv' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete Vba32PP3' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete Vba32ECM' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete TmProxy' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete SfCtlCom' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete ccSetMgr' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete VACompMan' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete Vba32ifs' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete SPBBCSvc' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete TMBMServer' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete NPFSvc32' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete sdCoreService' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete AVUpdate' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete AVTasks2' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete PAVFNSVR' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete PSIMSVC' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete PAVSRV' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete TPSrv' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete PskSvcRetail' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "V3 Service"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete avg9mc' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete avg9wd' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete ABMainSV' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete AVBackup' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete Gwmsrv' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "Panda Software Controller"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete PavPrSrv' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete a2AntiMalware' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete Klnagent' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete AVP' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete kavsvc' (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s "%ALLUSERSPROFILE%\install\1.reg"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete ArcaRemoteService' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete ekrn' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete acssrv' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete XCOMM' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete FSMA' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete FSDFWD' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete FPAVServer' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "ewido security suite guard"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "ewido security suite control"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "SAVService"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "SAVAdminService"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "Sophos AutoUpdate Service"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "Sophos Client Firewall Manager"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete eLoggerSvc6' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "Sophos Client Firewall"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete DrWebEngine' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete cmdAgent' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete EhttpSrv' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete Antivirus' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete DrWebFwSvc' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete "Browser Defender Update Service"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete VSSERV' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete bdss' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete LIVESRV' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete sdAuxService' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete PSHost' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\regedit.exe' /s "%ALLUSERSPROFILE%\install\1.reg"
- '%WINDIR%\syswow64\sc.exe' delete ccEvtMgr
- '%WINDIR%\syswow64\sc.exe' delete DefWatch
- '%WINDIR%\syswow64\sc.exe' delete "Symantec AntiVirus"
- '%WINDIR%\syswow64\sc.exe' delete "avast! Mail Scanne"
- '%WINDIR%\syswow64\sc.exe' delete "avast! Antivirus"
- '%WINDIR%\syswow64\sc.exe' delete NSPService
- '%WINDIR%\syswow64\sc.exe' delete "Norman ZANDA"
- '%WINDIR%\syswow64\sc.exe' delete nvcoas
- '%WINDIR%\syswow64\sc.exe' delete scheduler
- '%WINDIR%\syswow64\sc.exe' delete NiG
- '%WINDIR%\syswow64\sc.exe' delete SPBBCSvc
- '%WINDIR%\syswow64\sc.exe' delete "avast! Web Scanner"
- '%WINDIR%\syswow64\sc.exe' delete NSPUpdateService
- '%WINDIR%\syswow64\sc.exe' delete Norman
- '%WINDIR%\syswow64\sc.exe' delete "F-Secure Gatekeeper Handler Starter"
- '%WINDIR%\syswow64\sc.exe' delete FSORSPClient
- '%WINDIR%\syswow64\sc.exe' delete FSAUA
- '%WINDIR%\syswow64\sc.exe' delete FSGKHS
- '%WINDIR%\syswow64\sc.exe' delete NPROSECSVC
- '%WINDIR%\syswow64\sc.exe' delete Npsvc32
- '%WINDIR%\syswow64\sc.exe' delete "Sophos Client Firewall"
- '%WINDIR%\syswow64\sc.exe' delete TMBMServer
- '%WINDIR%\syswow64\sc.exe' delete VACompManService
- '%WINDIR%\syswow64\sc.exe' delete AntiVirService
- '%WINDIR%\syswow64\sc.exe' delete AntiVirWebService
- '%WINDIR%\syswow64\sc.exe' delete a2free
- '%WINDIR%\syswow64\sc.exe' delete InoRT
- '%WINDIR%\syswow64\sc.exe' delete SAVSService
- '%WINDIR%\syswow64\sc.exe' delete GuardX
- '%WINDIR%\syswow64\sc.exe' delete NOD32Krn
- '%WINDIR%\syswow64\sc.exe' delete vsmon
- '%WINDIR%\syswow64\sc.exe' delete NSESVC
- '%WINDIR%\syswow64\sc.exe' delete SNDSrvc
- '%WINDIR%\syswow64\sc.exe' delete wscsvc
- '%WINDIR%\syswow64\sc.exe' delete wuauserv
- '%WINDIR%\syswow64\sc.exe' delete Vba32PP3
- '%WINDIR%\syswow64\sc.exe' delete Vba32ECM
- '%WINDIR%\syswow64\sc.exe' delete TmProxy
- '%WINDIR%\syswow64\sc.exe' delete SfCtlCom
- '%WINDIR%\syswow64\sc.exe' delete ccSetMgr
- '%WINDIR%\syswow64\sc.exe' delete VACompMan
- '%WINDIR%\syswow64\sc.exe' delete Vba32ifs
- '%WINDIR%\syswow64\sc.exe' delete SharedAccess
- '%WINDIR%\syswow64\sc.exe' delete Vba32Ldr
- '%WINDIR%\syswow64\sc.exe' delete nvoy
- '%WINDIR%\syswow64\sc.exe' delete NPFSvc32
- '%WINDIR%\syswow64\sc.exe' delete eLoggerSvc6
- '%WINDIR%\syswow64\sc.exe' delete ABMainSV
- '%WINDIR%\syswow64\sc.exe' delete AVUpdate
- '%WINDIR%\syswow64\sc.exe' delete AVTasks2
- '%WINDIR%\syswow64\sc.exe' delete PAVFNSVR
- '%WINDIR%\syswow64\sc.exe' delete PSIMSVC
- '%WINDIR%\syswow64\sc.exe' delete PAVSRV
- '%WINDIR%\syswow64\sc.exe' delete TPSrv
- '%WINDIR%\syswow64\sc.exe' delete PskSvcRetail
- '%WINDIR%\syswow64\sc.exe' delete "V3 Service"
- '%WINDIR%\syswow64\sc.exe' delete SOLOSCAN
- '%WINDIR%\syswow64\sc.exe' delete sdAuxService
- '%WINDIR%\syswow64\sc.exe' delete ArcaRemoteService
- '%WINDIR%\syswow64\sc.exe' delete AVBackup
- '%WINDIR%\syswow64\sc.exe' delete Gwmsrv
- '%WINDIR%\syswow64\sc.exe' delete "Panda Software Controller"
- '%WINDIR%\syswow64\sc.exe' delete PavPrSrv
- '%WINDIR%\syswow64\sc.exe' delete a2AntiMalware
- '%WINDIR%\syswow64\sc.exe' delete Klnagent
- '%WINDIR%\syswow64\sc.exe' delete AVP
- '%WINDIR%\syswow64\sc.exe' delete kavsvc
- '%WINDIR%\syswow64\sc.exe' delete avg9mc
- '%WINDIR%\syswow64\sc.exe' delete aswUpdSv
- '%WINDIR%\syswow64\sc.exe' delete sdCoreService
- '%WINDIR%\syswow64\sc.exe' delete bdss
- '%WINDIR%\syswow64\sc.exe' delete XCOMM
- '%WINDIR%\syswow64\sc.exe' delete acssrv
- '%WINDIR%\syswow64\sc.exe' delete FSMA
- '%WINDIR%\syswow64\sc.exe' delete FSDFWD
- '%WINDIR%\syswow64\sc.exe' delete FPAVServer
- '%WINDIR%\syswow64\sc.exe' delete "ewido security suite guard"
- '%WINDIR%\syswow64\sc.exe' delete "ewido security suite control"
- '%WINDIR%\syswow64\sc.exe' delete "SAVService"
- '%WINDIR%\syswow64\sc.exe' delete "SAVAdminService"
- '%WINDIR%\syswow64\sc.exe' delete LIVESRV
- '%WINDIR%\syswow64\sc.exe' delete "Sophos AutoUpdate Service"
- '%WINDIR%\syswow64\sc.exe' delete avg9wd
- '%WINDIR%\syswow64\sc.exe' delete ekrn
- '%WINDIR%\syswow64\sc.exe' delete DrWebEngine
- '%WINDIR%\syswow64\sc.exe' delete cmdAgent
- '%WINDIR%\syswow64\sc.exe' delete EhttpSrv
- '%WINDIR%\syswow64\sc.exe' delete Antivirus
- '%WINDIR%\syswow64\sc.exe' delete DrWebFwSvc
- '%WINDIR%\syswow64\sc.exe' delete "Browser Defender Update Service"
- '%WINDIR%\syswow64\sc.exe' delete VSSERV
- '%WINDIR%\syswow64\sc.exe' delete "Sophos Client Firewall Manager"
- '%WINDIR%\syswow64\sc.exe' delete PSHost
