Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'ControlPanel' = '<SYSTEM32>\cmd32.exe internat.dll,LoadKeyboardProfile'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall set allowedprogram <Полный путь к файлу> enable
- '%WINDIR%\syswow64\netsh.exe' firewall set allowedprogram <SYSTEM32>\cmd32.exe enable
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\sdfff
- <Текущая директория>\ffdgdsf
- <Текущая директория>\wdcsadsad
- <Текущая директория>\fdsf
- <Текущая директория>\zxczxc
- <Текущая директория>\cdegfr
- %WINDIR%\syswow64\cmd32.exe
- <Текущая директория>\asfds
- <Текущая директория>\sdfdsf
Сетевая активность
UDP
- DNS ASK ch##acj.com
