Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\PowerFucker] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\PowerFucker] 'ImagePath' = '<SYSTEM32>\pifmgr.exe /o'
Создает следующие сервисы
- 'PowerFucker' <SYSTEM32>\pifmgr.exe /o
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\pifmgr.exe
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\pifngr.dll
- <SYSTEM32>\pifmgr.exe
- C:\log.txt
Самоудаляется.
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\pifmgr.exe' /o
- '<SYSTEM32>\pifmgr.exe' /f
- '<SYSTEM32>\pifmgr.exe' /f' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ping 0.0.0.0 & del /q "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ping 0.0.0.0 & del /q "<Полный путь к файлу>"
- '<SYSTEM32>\ping.exe' 0.0.0.0
