Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\pev.exe' -k antispyshield.exe f
- '<Текущая директория>\pev.exe' -k * -preg#[0-9]+\.exe$#
- '<Текущая директория>\pev.exe' -k restore.exe
- '<Текущая директория>\pev.exe' -k winlogon32.exe
- '<Текущая директория>\pev.exe' -k smss32.exe
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /FI "WINDOWTITLE eq Windows Enterprise Suite*"
- '<SYSTEM32>\taskkill.exe' /FI "WINDOWTITLE eq Security Central*" /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\rkill.bat""
- '<SYSTEM32>\taskkill.exe' /FI "WINDOWTITLE eq Security Tool*" /f
Завершает или пытается завершить
следующие пользовательские процессы:
- clntw32.exe
- client7.exe
- startclient7.exe
- msn6.exe
- miranda32.exe
- nod32.exe
- AVP32.EXE
- AVGCC32.EXE
- drweb386.exe
- NAVAPW32.EXE
- fsav32.exe
Скрывает следующие процессы:
- <Служебный элемент>
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\ncmd.cfxxe
- %TEMP%\rkill.log
- <Текущая директория>\rkill.reg
- %TEMP%\1.tmp\rkill.bat
- <Текущая директория>\pev.exe
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
