Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] '¼«Óò±£»¤³ÌÐò' = '<Полный путь к файлу>'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Интерпретатора командной строки (CMD)
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
изменяет следующие системные настройки:
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'StartMenuLogoff' = '00000001'
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' -f /im cmd.exe
- '%WINDIR%\syswow64\taskkill.exe' -f /im regedit.exe
- '%WINDIR%\syswow64\taskkill.exe' -f /im taskmgr.exe
- '%WINDIR%\syswow64\taskkill.exe' -f /im mmc.exe
Запускает большое число процессов
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' -f /im cmd.exe (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' -f /im regedit.exe (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' -f /im taskmgr.exe (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' -f /im mmc.exe (со скрытым окном)
