Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\vncdrv] 'Start' = '00000001'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\7zS1.tmp\winvnc.exe'
- '%TEMP%\7zS1.tmp\setupdrv.exe' installs
- '%TEMP%\7zS1.tmp\hidecmd.exe'
Запускает на исполнение:
- '<SYSTEM32>\runonce.exe' -r
- '<SYSTEM32>\reg.exe' query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop
- '<SYSTEM32>\cmd.exe' /c .\start.bat
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\7zS1.tmp\vnchelp.dll
- %TEMP%\7zS1.tmp\vncdrv.sys
- %TEMP%\7zS1.tmp\winvnc.exe
- %TEMP%\7zS1.tmp\vncdrv.dll
- %WINDIR%\inf\oem3.inf
- <SYSTEM32>\SET5.tmp
- <SYSTEM32>\SET6.tmp
- %WINDIR%\inf\oem3.PNF
- <DRIVERS>\SET4.tmp
- %TEMP%\7zS1.tmp\setupdrv.exe
- %TEMP%\7zS1.tmp\rc4.key
- %TEMP%\7zS1.tmp\start.bat
- %TEMP%\7zS1.tmp\background.bmp
- %TEMP%\7zS1.tmp\logo.bmp
- %TEMP%\7zS1.tmp\helpdesk.txt
- %TEMP%\7zS1.tmp\Aero.exe
- %TEMP%\7zS1.tmp\hidecmd.exe
- %TEMP%\7zS1.tmp\MSRC4Plugin.dsm
- %TEMP%\7zS1.tmp\vncdrv.inf
Перемещает следующие файлы:
- <SYSTEM32>\SET6.tmp в <SYSTEM32>\vnchelp.dll
- <SYSTEM32>\SET5.tmp в <SYSTEM32>\vncdrv.dll
- <DRIVERS>\SET4.tmp в <DRIVERS>\vncdrv.sys
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Software Installation'
- ClassName: '' WindowName: 'Hardware Installation'
- ClassName: 'Shell_TrayWnd' WindowName: ''
