Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\UxSms] 'Start' = '00000002'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop "Desktop Window Manager Session Manager"
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\themes\custom.theme
Изменяет следующие файлы
- %APPDATA%\microsoft\windows\themes\transcodedwallpaper.jpg
Другое
Ищет следующие окна
- ClassName: 'PersonalizationThemeChangeListener' WindowName: ''
- ClassName: 'SystemTray_Main' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c sc config "UxSms" start= auto (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' config "UxSms" start= auto
- '%WINDIR%\syswow64\cmd.exe' /c net stop "Desktop Window Manager Session Manager" (со скрытым окном)
- '%WINDIR%\syswow64\net1.exe' stop "Desktop Window Manager Session Manager"
- '%WINDIR%\syswow64\cmd.exe' /c net start "Desktop Window Manager Session Manager" (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' start "Desktop Window Manager Session Manager"
- '%WINDIR%\syswow64\net1.exe' start "Desktop Window Manager Session Manager"
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\shell32.dll,Control_RunDLL <SYSTEM32>\desk.cpl desk,@Themes /Action:OpenTheme /file:"%WINDIR%\Resources\Themes\aero.theme" (со скрытым окном)
