Техническая информация
Для обеспечения автозапуска и распространения:
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\notepad.exe файлом <SYSTEM32>\dllcache\notepad.exe.new
- %WINDIR%\NOTEPAD.EXE файлом %WINDIR%\notepad.exe.new
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' user "You (F)Hacked" /add
- '<SYSTEM32>\label.exe' C:MYA-XA-XA
- '<SYSTEM32>\rundll32.exe' shell32.dll,Activate_RunDLL
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\bat.bat
- '<SYSTEM32>\taskkill.exe' /f /im explorer.exe
- '<SYSTEM32>\net1.exe' share "ResName$"="C:\"
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\bat.bat
Удаляет следующие файлы:
- %WINDIR%\NOTEPAD.EXE
Перемещает следующие файлы:
- <SYSTEM32>\dllcache\notepad.exe.new в <SYSTEM32>\dllcache\notepad.exe
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
