Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\5nmjf.bat
- C:\users\public\pictures\699ye\ugx0q_a8\aliim.exe
- C:\users\public\pictures\699ye\ugx0q_a8\aliwangwangframework.dll
- C:\users\public\pictures\699ye\ugx0q_a8\m
- C:\users\public\pictures\699ye\ugx0q_a8\n
- C:\users\public\pictures\699ye\ugx0q_a8\zp.txt
- C:\users\public\pictures\699ye\ugx0q_a8\updateassist.dll
Удаляет следующие файлы
- %APPDATA%\5nmjf.bat
- C:\users\public\pictures\699ye\ugx0q_a8\n
- C:\users\public\pictures\699ye\ugx0q_a8\m
Другое
Создает и запускает на исполнение
- 'C:\users\public\pictures\699ye\ugx0q_a8\aliim.exe'
- '<SYSTEM32>\cmd.exe' /c copy /b C:\Users\Public\Pictures\699Ye\Ugx0q_A8\n+C:\Users\Public\Pictures\699Ye\Ugx0q_A8\m C:\Users\Public\Pictures\699Ye\Ugx0q_A8\UpdateAssist.dll' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C "%APPDATA%\5NMjf.bat"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "%APPDATA%\5NMjf.bat"
- '<SYSTEM32>\reg.exe' add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t reg_dword /d 0 /F
- '<SYSTEM32>\reg.exe' add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t reg_dword /d 0 /F
- '<SYSTEM32>\cmd.exe' /c copy /b C:\Users\Public\Pictures\699Ye\Ugx0q_A8\n+C:\Users\Public\Pictures\699Ye\Ugx0q_A8\m C:\Users\Public\Pictures\699Ye\Ugx0q_A8\UpdateAssist.dll
