Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\<Имя файла>.vbs
- <SYSTEM32>\tasks\windows security service (wss)
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\run.vbs
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Query /FO CSV /NH /TN "<Имя файла>.vbs" (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "<PATH_SAMPLE>.vbs" /CreateTask
- '<SYSTEM32>\schtasks.exe' /Create /SC ONCE /TN "<Имя файла>.vbs" /TR "wscript.exe \"<PATH_SAMPLE>.vbs\" /AsAdmin" /ST 00:01 /IT /F /RL HIGHEST (со скрытым окном)
- '<SYSTEM32>\reg.exe' ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- '<SYSTEM32>\schtasks.exe' /create /tn "Windows Security Service (WSS)" /sc onlogon /ru user /rl highest /tr "wscript.exe <Текущая директория>\run.vbs" (со скрытым окном)
