Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\newfolder.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Изменения в файловой системе
Создает следующие файлы
- C:\task.xml
- %WINDIR%\task.xml
- C:\newfolder.exe
- D:\newfolder.exe
- C:\killdefender.reg
- %WINDIR%\killdefender.reg
- %WINDIR%\newfolder.exe
- C:\mine.exe
- %WINDIR%\mine.exe
Удаляет следующие файлы
- C:\task.xml
- C:\killdefender.reg
- C:\mine.exe
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy c:\Task.xml %windir%\Task.xml > nul
- '%WINDIR%\syswow64\cmd.exe' /c copy <Полный путь к файлу> C:\NewFolder.exe > nul
- '%WINDIR%\syswow64\cmd.exe' /c del c:\Task.xml > nul
- '%WINDIR%\syswow64\cmd.exe' /c copy <Полный путь к файлу> D:\NewFolder.exe > nul
- '%WINDIR%\syswow64\cmd.exe' /c copy c:\KillDefender.reg %windir%\KillDefender.reg > nul
- '%WINDIR%\syswow64\cmd.exe' /c copy <Полный путь к файлу> <Имя диска съемного носителя>:\NewFolder.exe > nul
- '%WINDIR%\syswow64\cmd.exe' /c del c:\KillDefender.reg > nul
- '%WINDIR%\syswow64\cmd.exe' /c regedit /s %windir%\KillDefender.reg > nul
- '%WINDIR%\syswow64\cmd.exe' /c copy <Полный путь к файлу> %windir%\NewFolder.exe > nul
- '%WINDIR%\syswow64\regedit.exe' /s %WINDIR%\KillDefender.reg
- '%WINDIR%\syswow64\cmd.exe' /c copy c:\mine.exe %windir%\mine.exe > nul
- '%WINDIR%\syswow64\cmd.exe' /c del c:\mine.exe > nul
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /xml %windir%\Task.xml /tn Task > nul
- '%WINDIR%\syswow64\schtasks.exe' /create /xml %WINDIR%\Task.xml /tn Task
