Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<SYSTEM32>\tskse.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\copy.bat
- %TEMP%\ixp000.tmp\inst.bat
- %TEMP%\ixp000.tmp\st.vbs
- %TEMP%\ixp000.tmp\tskse.exe
- C:\inst\inst.bat
- C:\inst\tskse.exe
- C:\inst\st.vbs
- nul
- <SYSTEM32>\tskse.exe
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\tskse.exe
- %TEMP%\ixp000.tmp\st.vbs
- %TEMP%\ixp000.tmp\inst.bat
- %TEMP%\ixp000.tmp\copy.bat
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "C:\inst\st.vbs"
- '<SYSTEM32>\tskse.exe'
- '<SYSTEM32>\cmd.exe' /c copy.bat' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""C:\inst\inst.bat" "' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c main.bat' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c copy.bat
- '<SYSTEM32>\cmd.exe' /c ""C:\inst\inst.bat" "
- '<SYSTEM32>\net.exe' session
- '<SYSTEM32>\net1.exe' session
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "<SYSTEM32>\tskse.exe" /f
- '<SYSTEM32>\shutdown.exe' /r /f /t 0
- '<SYSTEM32>\cmd.exe' /c main.bat
Пытается завершить работу операционной системы Windows.
