Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '\system' = '<SYSTEM32>\system.exe'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Driver] 'ImagePath' = 'C:\Driver.sys'
Создает следующие сервисы
- 'Driver' C:\Driver.sys
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\autorun.vbs
- <Имя диска съемного носителя>:\system.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\mjjqa.dll
- C:\driver.sys
- %WINDIR%\syswow64\cnrke.dll
- C:\autorun.inf
- C:\autorun.vbs
- %TEMP%\780660.tmp
- D:\autorun.inf
- D:\autorun.vbs
- C:\system.exe
- D:\system.exe
Присваивает атрибут 'скрытый' для следующих файлов
- C:\system.exe
- D:\system.exe
- <Имя диска съемного носителя>:\system.exe
Удаляет следующие файлы
- C:\driver.sys
Самоперемещается
- из <Полный путь к файлу> в %WINDIR%\syswow64\system.exe
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\cnrke.DLL Execute (со скрытым окном)
