Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '' = 'file:%WINDIR%\362.VBS'
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters] 'ServiceDll' = '%ProgramFiles%\%program files%\kavstart.dll'
- [HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt] 'Start' = '00000002'
Изменения в файловой системе
Создает следующие файлы
- C:\ntldr.sys
- %WINDIR%\best.bat
- %WINDIR%\362.vbs
- %ProgramFiles%\%program files%\laass.exe
- %ProgramFiles%\%program files%\363.vbs
- %ProgramFiles%\%program files%\cest.bat
- %ProgramFiles%\%program files%\~
- %ProgramFiles%\%program files%\kavstart.dll
Удаляет следующие файлы
- C:\ntldr.sys
Самоудаляется.
Сетевая активность
UDP
- DNS ASK dd##.3322.org
Другое
Создает и запускает на исполнение
- '%ProgramFiles%\%program files%\laass.exe' kavstart.dll main
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' kavstart.dll main (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' \c del <Полный путь к файлу> > nul & rd c:\%Progr~1 > nul (со скрытым окном)
- '%ProgramFiles%\%program files%\laass.exe' kavstart.dll main (со скрытым окном)
