Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'WMAFile'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoUserNameInStartMenu" /d "1" /f
- '<SYSTEM32>\attrib.exe' +r +a +s +h <SYSTEM32>
- '<SYSTEM32>\wscript.exe' "c:\msg.vbs"
- '<SYSTEM32>\attrib.exe' +h "Virus Name.bat"
- '<SYSTEM32>\msg.exe' * Bienvenue dans un nouveau monde
- '<SYSTEM32>\attrib.exe' +s "Virus Name.bat"
- '<SYSTEM32>\attrib.exe' +r "Virus Name.bat"
- '<SYSTEM32>\rundll32.exe' user32,SwapMouseButton
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\you tube.bat" "
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v PWNAGE /t REG_SZ /d <DRIVERS>\Virus Name.bat /f
- '<SYSTEM32>\attrib.exe' +h c:\msg.vbs
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices /v Pwner /t REG_SZ /d %WINDIR%\Virus Name.bat /f
- '<SYSTEM32>\netsh.exe' firewall set opmode disable
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoUserNameInStartMenu' = '1'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\6898.5417
- %WINDIR%\26904.15863
- <SYSTEM32>\798.6587
- %WINDIR%\18237.4675
- <SYSTEM32>\19858.12213
- %WINDIR%\841.26186
- <SYSTEM32>\7777.27745
- %WINDIR%\26956.18522
- <SYSTEM32>\1742.18077
- %WINDIR%\13550.10393
- <SYSTEM32>\25604.11121
- %WINDIR%\12473.19393
- <SYSTEM32>\20196.777
- %WINDIR%\20259.18489
- <SYSTEM32>\13156.24016
- %WINDIR%\15752.29095
- <SYSTEM32>\32676.10008
- %WINDIR%\12757.5471
- %WINDIR%\7975.14254
- %WINDIR%\5068.3915
- <SYSTEM32>\26492.27864
- %WINDIR%\10161.17432
- <SYSTEM32>\19304.19504
- %WINDIR%\1226.2625
- <SYSTEM32>\20335.23449
- %WINDIR%\27722.19607
- <SYSTEM32>\20174.10025
- %WINDIR%\14644.6537
- <SYSTEM32>\5522.16683
- %WINDIR%\19579.23230
- <SYSTEM32>\14076.31646
- %WINDIR%\17236.8818
- <SYSTEM32>\7397.14707
- %WINDIR%\2806.6651
- <SYSTEM32>\18645.14518
- %WINDIR%\14262.13432
- <SYSTEM32>\22864.7443
- <SYSTEM32>\18197.1475
- <SYSTEM32>\30761.10893
- %WINDIR%\4485.31339
- <SYSTEM32>\16420.9636
- %WINDIR%\20919.7596
- <SYSTEM32>\14022.3104
- %WINDIR%\17516.11189
- <SYSTEM32>\31906.18032
- %WINDIR%\9827.10020
- <SYSTEM32>\14287.23693
- %WINDIR%\12814.4825
- <SYSTEM32>\6891.12081
- %WINDIR%\27298.23793
- <SYSTEM32>\31492.3795
- %WINDIR%\14109.18704
- <SYSTEM32>\1627.2505
- %WINDIR%\11925.18143
- <SYSTEM32>\33.13138
- %WINDIR%\26890.16666
- %WINDIR%\26655.6096
- %WINDIR%\27487.7432
- <SYSTEM32>\31569.28534
- %WINDIR%\7584.5867
- <SYSTEM32>\19596.4721
- %WINDIR%\18989.26835
- <SYSTEM32>\16965.6109
- %WINDIR%\13802.9807
- <SYSTEM32>\16318.10703
- %WINDIR%\2010.24071
- <SYSTEM32>\1208.13587
- %WINDIR%\4161.20782
- <SYSTEM32>\26219.28142
- %WINDIR%\31053.18996
- <SYSTEM32>\1088.8041
- %WINDIR%\20962.6004
- <SYSTEM32>\1588.25548
- %WINDIR%\26928.16466
- <SYSTEM32>\27119.20699
- C:\18319.txt
- C:\29899.txt
- C:\19605.txt
- C:\14145.txt
- C:\9999.txt
- C:\11035.txt
- C:\14663.txt
- C:\24339.txt
- C:\924.txt
- C:\17482.txt
- C:\19610.txt
- C:\9869.txt
- C:\17086.txt
- C:\17212.txt
- C:\24910.txt
- C:\13159.txt
- C:\16380.txt
- C:\22892.txt
- C:\28636.txt
- C:\19687.txt
- C:\23072.txt
- C:\25419.txt
- C:\14419.txt
- C:\5066.txt
- C:\13111.txt
- %TEMP%\1.tmp\you tube.bat
- C:\17690.txt
- C:\3061.txt
- C:\8170.txt
- C:\20940.txt
- C:\28363.txt
- C:\25467.txt
- C:\26373.txt
- C:\12744.txt
- C:\20038.txt
- C:\10247.txt
- C:\507.txt
- C:\31428.txt
- %WINDIR%\30227.21790
- <SYSTEM32>\24642.4888
- %WINDIR%\14785.19996
- <SYSTEM32>\28856.16811
- %WINDIR%\6253.28192
- <SYSTEM32>\3913.4225
- %WINDIR%\8828.4638
- <SYSTEM32>\32246.14748
- %WINDIR%\19424.8481
- <SYSTEM32>\7847.17555
- %WINDIR%\14528.10483
- <SYSTEM32>\7447.4795
- %WINDIR%\28650.16385
- <SYSTEM32>\11261.20280
- %WINDIR%\9084.12512
- <SYSTEM32>\8929.6148
- %WINDIR%\26798.26101
- <SYSTEM32>\26623.6318
- <SYSTEM32>\12866.29287
- C:\18797.txt
- C:\22493.txt
- C:\6234.txt
- C:\9191.txt
- C:\11911.txt
- C:\2601.txt
- C:\14536.txt
- C:\17205.txt
- C:\4623.txt
- %WINDIR%\14269.20520
- <SYSTEM32>\31496.3401
- %WINDIR%\25470.18065
- <SYSTEM32>\19775.6624
- C:\msg.vbs
- C:\19397.txt
- C:\25167.txt
- C:\30921.txt
- C:\20970.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\msg.vbs
Удаляет следующие файлы:
- %TEMP%\1.tmp\you tube.bat
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
