Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\vmp.url
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Компонент восстановления системы (SR)
удаляет теневые копии разделов.
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\vmp.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\vmp.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C vssadmin delete shadows /all /quiet & wmic shadowcopy delete (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no (со скрытым окном)
- '<SYSTEM32>\bcdedit.exe' /set {default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\cmd.exe' /C wbadmin delete catalog -quiet (со скрытым окном)
- '<SYSTEM32>\wbadmin.exe' delete catalog -quiet
- '<SYSTEM32>\wbengine.exe'
- '<SYSTEM32>\vds.exe'
