Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'WMAFile'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'Pwner' = '%WINDIR%\suuupi.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PWNAGE' = '<DRIVERS>\suuupi.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoUserNameInStartMenu" /d "1" /f
- '<SYSTEM32>\attrib.exe' +r +a +s +h <SYSTEM32>
- '<SYSTEM32>\wscript.exe' "c:\msg.vbs"
- '<SYSTEM32>\attrib.exe' +s "suuupi.exe"
- '<SYSTEM32>\attrib.exe' +r "suuupi.exe"
- '<SYSTEM32>\attrib.exe' +h "suuupi.exe"
- '<SYSTEM32>\attrib.exe' +h c:\msg.vbs
- '<SYSTEM32>\rundll32.exe' user32,SwapMouseButton
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\suuupi.bat""
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices /v Pwner /t REG_SZ /d %WINDIR%\suuupi.exe /f
- '<SYSTEM32>\netsh.exe' firewall set opmode disable
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v PWNAGE /t REG_SZ /d <DRIVERS>\suuupi.exe /f
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoUserNameInStartMenu' = '1'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\15636.25124
- %WINDIR%\19043.13407
- <SYSTEM32>\30172.23848
- %WINDIR%\15319.196
- <SYSTEM32>\28776.4186
- %WINDIR%\30424.25113
- <SYSTEM32>\26719.19006
- %WINDIR%\19309.25313
- <SYSTEM32>\22046.32232
- %WINDIR%\14081.21637
- <SYSTEM32>\29640.18021
- %WINDIR%\1259.1267
- <SYSTEM32>\29662.7250
- %WINDIR%\32296.1817
- <SYSTEM32>\9220.12713
- %WINDIR%\23802.24596
- <SYSTEM32>\7997.27045
- %WINDIR%\30925.7642
- %WINDIR%\31246.25649
- %WINDIR%\30398.6835
- <SYSTEM32>\14493.30704
- %WINDIR%\21610.29990
- <SYSTEM32>\2473.14456
- %WINDIR%\28988.18200
- <SYSTEM32>\13674.15598
- %WINDIR%\2484.6700
- <SYSTEM32>\19793.3608
- %WINDIR%\7450.20771
- <SYSTEM32>\12181.14556
- %WINDIR%\23790.11417
- <SYSTEM32>\22745.841
- %WINDIR%\28099.1667
- <SYSTEM32>\16660.2657
- %WINDIR%\22389.18784
- <SYSTEM32>\11310.5774
- %WINDIR%\14595.4995
- <SYSTEM32>\30639.15040
- <SYSTEM32>\30800.8458
- <SYSTEM32>\11337.8129
- %WINDIR%\8223.4445
- <SYSTEM32>\5445.13182
- %WINDIR%\2065.6310
- <SYSTEM32>\26030.24221
- %WINDIR%\10092.20192
- <SYSTEM32>\24212.29687
- %WINDIR%\25441.29064
- <SYSTEM32>\31998.1893
- %WINDIR%\16261.12260
- <SYSTEM32>\18264.19309
- %WINDIR%\5037.30312
- <SYSTEM32>\20413.22660
- %WINDIR%\21533.15111
- <SYSTEM32>\31567.9442
- %WINDIR%\32514.17052
- <SYSTEM32>\9193.13166
- %WINDIR%\21143.6615
- %WINDIR%\4073.16855
- %WINDIR%\32620.25203
- <SYSTEM32>\17247.2257
- %WINDIR%\21167.27214
- <SYSTEM32>\20938.13232
- %WINDIR%\30972.15138
- <SYSTEM32>\5227.24499
- %WINDIR%\18141.15375
- <SYSTEM32>\16670.18320
- %WINDIR%\19509.31053
- <SYSTEM32>\28796.3455
- %WINDIR%\25726.29840
- <SYSTEM32>\11640.7980
- %WINDIR%\1173.29603
- <SYSTEM32>\25238.19451
- %WINDIR%\14058.18392
- <SYSTEM32>\15755.19897
- %WINDIR%\4730.1670
- <SYSTEM32>\8831.20841
- C:\28046.txt
- C:\12148.txt
- C:\25295.txt
- C:\13209.txt
- C:\10643.txt
- C:\30057.txt
- C:\12129.txt
- C:\7469.txt
- C:\22672.txt
- C:\2722.txt
- C:\784.txt
- C:\12537.txt
- C:\1845.txt
- C:\32274.txt
- C:\19623.txt
- C:\14213.txt
- C:\22392.txt
- C:\4130.txt
- C:\18216.txt
- C:\12811.txt
- C:\8087.txt
- C:\15131.txt
- C:\32684.txt
- C:\26826.txt
- C:\6680.txt
- %TEMP%\1.tmp\suuupi.bat
- C:\2969.txt
- C:\12251.txt
- C:\23707.txt
- C:\13178.txt
- C:\8828.txt
- C:\17360.txt
- C:\27559.txt
- C:\12595.txt
- C:\22887.txt
- C:\32122.txt
- C:\28646.txt
- C:\26241.txt
- %WINDIR%\7951.4873
- <SYSTEM32>\1004.9271
- %WINDIR%\24903.31260
- <SYSTEM32>\25223.9979
- %WINDIR%\5531.6897
- <SYSTEM32>\31001.6798
- %WINDIR%\3358.21008
- <SYSTEM32>\307.27691
- %WINDIR%\18930.14894
- <SYSTEM32>\8625.13232
- %WINDIR%\17536.18905
- <SYSTEM32>\8395.1207
- %WINDIR%\32140.31523
- <SYSTEM32>\14.23538
- %WINDIR%\10306.25016
- <SYSTEM32>\31844.25446
- %WINDIR%\26444.8845
- <SYSTEM32>\31780.31652
- <SYSTEM32>\21141.26477
- C:\9524.txt
- C:\19929.txt
- C:\18693.txt
- C:\19700.txt
- C:\671.txt
- C:\9073.txt
- C:\10134.txt
- C:\19384.txt
- C:\24057.txt
- %WINDIR%\15062.32226
- <SYSTEM32>\11950.27710
- %WINDIR%\9320.29740
- <SYSTEM32>\6706.32533
- C:\msg.vbs
- C:\31668.txt
- C:\26336.txt
- C:\17455.txt
- C:\8315.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\msg.vbs
Удаляет следующие файлы:
- %TEMP%\1.tmp\suuupi.bat
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
