Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'WMAFile'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'Pwner' = '%WINDIR%\SuperVirusMaker.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PWNAGE' = '<DRIVERS>\SuperVirusMaker.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoUserNameInStartMenu" /d "1" /f
- '<SYSTEM32>\attrib.exe' +r +a +s +h <SYSTEM32>
- '<SYSTEM32>\wscript.exe' "c:\msg.vbs"
- '<SYSTEM32>\attrib.exe' +h "SuperVirusMaker.exe"
- '<SYSTEM32>\msg.exe' * HACKED
- '<SYSTEM32>\attrib.exe' +s "SuperVirusMaker.exe"
- '<SYSTEM32>\attrib.exe' +r "SuperVirusMaker.exe"
- '<SYSTEM32>\attrib.exe' +h c:\msg.vbs
- '<SYSTEM32>\rundll32.exe' user32,SwapMouseButton
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\SuperVirusMaker.bat" "
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v PWNAGE /t REG_SZ /d <DRIVERS>\SuperVirusMaker.exe /f
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices /v Pwner /t REG_SZ /d %WINDIR%\SuperVirusMaker.exe /f
- '<SYSTEM32>\taskkill.exe' /f /im iexplore.exe
- '<SYSTEM32>\netsh.exe' firewall set opmode disable
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoUserNameInStartMenu' = '1'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\28996.10912
- %WINDIR%\17944.16647
- <SYSTEM32>\16707.8588
- %WINDIR%\22723.22118
- <SYSTEM32>\7653.2496
- %WINDIR%\10169.4642
- <SYSTEM32>\2461.9511
- %WINDIR%\25318.13059
- <SYSTEM32>\26492.10459
- %WINDIR%\15315.32430
- <SYSTEM32>\19184.11889
- %WINDIR%\6527.20309
- <SYSTEM32>\32008.21861
- %WINDIR%\27195.30049
- <SYSTEM32>\28654.4723
- %WINDIR%\31106.13538
- <SYSTEM32>\17428.6132
- %WINDIR%\7768.5370
- %WINDIR%\5442.18628
- %WINDIR%\7913.6220
- <SYSTEM32>\13339.2968
- %WINDIR%\18405.22284
- <SYSTEM32>\20493.17207
- %WINDIR%\2176.22151
- <SYSTEM32>\5116.20700
- %WINDIR%\21907.25136
- <SYSTEM32>\18824.23077
- %WINDIR%\22502.11389
- <SYSTEM32>\25057.3805
- %WINDIR%\29841.258
- <SYSTEM32>\11059.20175
- %WINDIR%\12945.15146
- <SYSTEM32>\9369.32617
- %WINDIR%\19774.15866
- <SYSTEM32>\27379.24666
- %WINDIR%\27331.20280
- <SYSTEM32>\10620.16897
- <SYSTEM32>\10838.23287
- <SYSTEM32>\4521.13399
- %WINDIR%\10717.31941
- <SYSTEM32>\1307.28512
- %WINDIR%\18864.27945
- <SYSTEM32>\11314.24950
- %WINDIR%\5056.27435
- <SYSTEM32>\18988.7195
- %WINDIR%\20794.3394
- <SYSTEM32>\21962.32632
- %WINDIR%\17133.32709
- <SYSTEM32>\31234.12573
- %WINDIR%\1606.24148
- <SYSTEM32>\27474.6048
- %WINDIR%\23362.11636
- <SYSTEM32>\14596.13363
- %WINDIR%\11953.30988
- <SYSTEM32>\5009.24152
- %WINDIR%\2258.4643
- %WINDIR%\21652.635
- %WINDIR%\20561.19352
- <SYSTEM32>\20165.12070
- %WINDIR%\11929.25283
- <SYSTEM32>\3166.1386
- %WINDIR%\28097.14249
- <SYSTEM32>\29094.1487
- %WINDIR%\7833.17366
- <SYSTEM32>\18239.4392
- %WINDIR%\19963.3892
- <SYSTEM32>\9455.18707
- %WINDIR%\1498.13832
- <SYSTEM32>\2583.6923
- %WINDIR%\31882.27438
- <SYSTEM32>\15763.15750
- %WINDIR%\30616.16318
- <SYSTEM32>\12564.22501
- %WINDIR%\14624.9636
- <SYSTEM32>\1659.21993
- C:\10721.txt
- C:\12078.txt
- C:\8073.txt
- C:\26025.txt
- C:\1884.txt
- C:\9362.txt
- C:\31421.txt
- C:\2281.txt
- C:\32594.txt
- C:\1335.txt
- C:\2093.txt
- C:\10162.txt
- C:\21896.txt
- C:\9416.txt
- C:\23029.txt
- C:\25449.txt
- C:\9553.txt
- C:\14903.txt
- C:\29428.txt
- C:\24547.txt
- C:\23613.txt
- C:\21555.txt
- C:\5785.txt
- C:\5954.txt
- C:\32101.txt
- %TEMP%\1.tmp\SuperVirusMaker.bat
- C:\3948.txt
- C:\7259.txt
- C:\9184.txt
- C:\17900.txt
- C:\810.txt
- C:\28278.txt
- C:\14673.txt
- C:\3224.txt
- C:\18994.txt
- C:\5022.txt
- C:\31424.txt
- C:\9518.txt
- %WINDIR%\1997.6300
- <SYSTEM32>\30466.9655
- %WINDIR%\23578.14155
- <SYSTEM32>\31721.8197
- %WINDIR%\18998.13937
- <SYSTEM32>\16065.7836
- %WINDIR%\18002.12518
- <SYSTEM32>\1539.4719
- %WINDIR%\19512.24461
- <SYSTEM32>\3096.1827
- %WINDIR%\13838.17586
- <SYSTEM32>\30130.23288
- %WINDIR%\24764.30836
- <SYSTEM32>\22440.32734
- %WINDIR%\21081.13403
- <SYSTEM32>\7511.21131
- %WINDIR%\30633.18686
- <SYSTEM32>\27396.28207
- <SYSTEM32>\7203.10361
- C:\22327.txt
- C:\13665.txt
- C:\30841.txt
- C:\15668.txt
- C:\19544.txt
- C:\9797.txt
- C:\7539.txt
- C:\34.txt
- C:\17393.txt
- %WINDIR%\14460.13832
- <SYSTEM32>\15407.21494
- %WINDIR%\24923.25448
- <SYSTEM32>\28670.20090
- C:\msg.vbs
- C:\14231.txt
- C:\18171.txt
- C:\24588.txt
- C:\23573.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\msg.vbs
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '(null)' WindowName: '(null)'
