Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe,<SYSTEM32>\wininit_<Имя файла>.exe'
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SystemUpdate' = '<SYSTEM32>\wininit_<Имя файла>.exe'
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\wininit_<Имя файла>.exe
- %WINDIR%\temp\china.mp3
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\604pwz7f\wmpf94dc95d-bb3e-4e4b-8d52-ab4f607712ab[1]..png
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\media player\currentdatabase_372.wmdb
Другое
Ищет следующие окна
- ClassName: 'WMPlayerApp' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\takeown.exe' /F "<SYSTEM32>\wininit_<Имя файла>.exe" /A
- '<SYSTEM32>\icacls.exe' "<SYSTEM32>\wininit_<Имя файла>.exe" /grant hwonybdfylf\user:F /T
- '<SYSTEM32>\takeown.exe' /F "<Имя диска съемного носителя>:\tcm851ax32.exe" /A
- '<SYSTEM32>\takeown.exe' /F "<Имя диска съемного носителя>:\notepad.exe" /A
- '<SYSTEM32>\takeown.exe' /F "<Имя диска съемного носителя>:\winmine.exe" /A
- '<SYSTEM32>\takeown.exe' /F "<Имя диска съемного носителя>:\jre-7u75-windows-i586-iftw.exe" /A
- '<SYSTEM32>\takeown.exe' /F "<Имя диска съемного носителя>:\dotnetfx45_full_setup.exe" /A
- '<SYSTEM32>\net.exe' localgroup Administrators "hwonybdfylf\user" /delete
- '<SYSTEM32>\net1.exe' localgroup Administrators "hwonybdfylf\user" /delete
