Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7ba4.tmp\7ba5.tmp\7ba6.bat
- nul
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\7BA4.tmp\7BA5.tmp\7BA6.bat <Полный путь к файлу>"
- '<SYSTEM32>\reg.exe' delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore" /v "RPSessionInterval" /f
- '<SYSTEM32>\reg.exe' delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore" /v "DisableConfig" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore" /v "SystemRestorePointCreationFrequency" /t REG_DWORD /d 0 /f
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Unrestricted -NoProfile Enable-ComputerRestore -Drive 'C:\'
- '<SYSTEM32>\reg.exe' ADD "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "EnableLUA" /t REG_DWORD /d "0" /f
- '<SYSTEM32>\reg.exe' add "HKCU\CONSOLE" /v "VirtualTerminalLevel" /t REG_DWORD /d "1" /f
- '<SYSTEM32>\cmd.exe' /c wmic path Win32_UserAccount where name="user" get sid | findstr "S-"
- '<SYSTEM32>\wbem\wmic.exe' path Win32_UserAccount where name="user" get sid
- '<SYSTEM32>\findstr.exe' "S-"
- '<SYSTEM32>\chcp.com' 65001
