Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows UDP Protocol' = '%WINDIR%\WindowsUptime.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows UDP Protocol' = '%WINDIR%\WindowsUptime.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /F /IM AVENGINE.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM nod32kui.exe
- '<SYSTEM32>\taskkill.exe' /F /IM mcagent.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM VsStat.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM avgcc.exe
- '<SYSTEM32>\taskkill.exe' /F /IM bdnagent.exe
- '<SYSTEM32>\taskkill.exe' /F /IM avscan.exe
- '<SYSTEM32>\taskkill.exe' /F /IM avgamsvr.exe
- '<SYSTEM32>\taskkill.exe' /F /IM bdmcon.exe
- '<SYSTEM32>\taskkill.exe' /F /IM nodkrn32.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM nod32.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM avp.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM symlcsvc.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM zonealarm.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM kav.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM kis.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM ewidoctrl.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM vsmon.EXE
Завершает или пытается завершить
следующие пользовательские процессы:
- ZONEALARM.EXE
- MCAGENT.EXE
- nod32.exe
- AVP.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Desktop\Paint.exe
- %WINDIR%\WindowsUptime.exe
- %HOMEPATH%\Solucionador de problemas.exe
- %WINDIR%\Fotos secretas.exe
- C:\Solucionador de problemas.exe
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
