Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'eknr' = '%APPDATA%\{76149C72-D54B-363D-955C-8D74D33250BC}\eknr.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\Kespersky key.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Создает и запускает на исполнение:
- '%APPDATA%\{76149C72-D54B-363D-955C-8D74D33250BC}\eknr.exe'
- '%TEMP%\file2.exe'
- '%TEMP%\file1.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c C:\x.bat
- '<SYSTEM32>\net1.exe' stop sharedaccess
- '<SYSTEM32>\net.exe' stop sharedaccess
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\{76149C72-D54B-363D-955C-8D74D33250BC}\eknr.exe
- %APPDATA%\{76149C72-D54B-363D-955C-8D74D33250BC}\xox.dat
- C:\x.bat
- %TEMP%\file1.exe
- %TEMP%\aut1.tmp
- %TEMP%\file2.exe
- %TEMP%\aut2.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\Kespersky key.exe
Удаляет следующие файлы:
- C:\x.bat
- %TEMP%\~DF2ADF.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
Сетевая активность:
Подключается к:
- '19#.#2.59.190':9481
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
