Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Agent_boot' = '%WINDIR%\R_system.exe '
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\a30156.bat
- C:\4therobot.bat
- C:\mooroco_dead.bat
- C:\destr0y.bat
- %WINDIR%\mycod.bat
- C:\agent.vbs
- %WINDIR%\syswow64\myservice.exe
- %WINDIR%\r_system.exe
- C:\mycod.e.exe
- <Текущая директория>\77.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\a30156.bat
Удаляет следующие файлы
- %TEMP%\a30156.bat
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\a30156.bat "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\rundll32.exe' USER32.DLL,SwapMouseButton
- '%WINDIR%\syswow64\cscript.exe' 77.vbs
- '%WINDIR%\syswow64\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v /t REG_SZ /d <SYSTEM32>\Myservice.exe /f
- '%WINDIR%\syswow64\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v /t REG_SZ /d c:\4theRobot.bat /f
- '%WINDIR%\syswow64\reg.exe' add hkcu\software\microsoft\windows\currentversion\policies\system /v disabletaskmgr /t reg_dword /d "1" /f
- '%WINDIR%\syswow64\reg.exe' add hkcu\software\microsoft\windows\currentversion\policies\system /v disableregistrytools /t reg_dword /d "1" /f
