Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\0x22i.bat
- C:\users\public\pictures\na2zg\uqm3u~a9\mftvmornitor.exe
- C:\users\public\pictures\na2zg\uqm3u~a9\nh.txt
- C:\users\public\pictures\na2zg\uqm3u~a9\p
- C:\users\public\pictures\na2zg\uqm3u~a9\w
- C:\users\public\pictures\na2zg\uqm3u~a9\winosdmornitor.dll
- C:\users\public\pictures\na2zg\uqm3u~a9\zlib1.dll
- C:\users\public\pictures\na2zg\uqm3u~a9\libcurl.dll
Удаляет следующие файлы
- %APPDATA%\0x22i.bat
- C:\users\public\pictures\na2zg\uqm3u~a9\p
- C:\users\public\pictures\na2zg\uqm3u~a9\w
Другое
Создает и запускает на исполнение
- 'C:\users\public\pictures\na2zg\uqm3u~a9\mftvmornitor.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ipconfig /all
- '<SYSTEM32>\ipconfig.exe' /all
- '<SYSTEM32>\netsh.exe' -f C:\Users\Public\Pictures\766zT.xml (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C "%APPDATA%\0X22I.bat" (со скрытым окном)
- '<SYSTEM32>\reg.exe' add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t reg_dword /d 0 /F
- '<SYSTEM32>\reg.exe' add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t reg_dword /d 0 /F
- '<SYSTEM32>\reg.exe' add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t reg_dword /d 0 /F
- '<SYSTEM32>\cmd.exe' /c copy /b C:\Users\Public\Pictures\NA2Zg\uQM3u~A9\p+C:\Users\Public\Pictures\NA2Zg\uQM3u~A9\w C:\Users\Public\Pictures\NA2Zg\uQM3u~A9\libcurl.dll (со скрытым окном)
- 'C:\users\public\pictures\na2zg\uqm3u~a9\mftvmornitor.exe' (со скрытым окном)
