Trojan.KillProc.29678

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SOFTWARE\Classes\.exe] '' = 'WMAFile'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'Pwner' = '%WINDIR%\sample.bat'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PWNAGE' = '<DRIVERS>\sample.exe'

Вредоносные функции:

Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:

[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'

Запускает на исполнение:

'<SYSTEM32>\attrib.exe' +h "sample.exe"
'<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoUserNameInStartMenu" /d "1" /f
'<SYSTEM32>\attrib.exe' +r +a +s +h <SYSTEM32>
'<SYSTEM32>\attrib.exe' +r "sample.exe"
'<SYSTEM32>\shutdown.exe' -s -t 60 -c "say good bye to ur PC Bcz u have been fucked up "
'<SYSTEM32>\msg.exe' * liber8 over our network!!!
'<SYSTEM32>\attrib.exe' +s "sample.exe"
'<SYSTEM32>\rundll32.exe' user32,SwapMouseButton
'<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f
'<SYSTEM32>\attrib.exe' +h %TEMP%\ztmp
'<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v PWNAGE /t REG_SZ /d <DRIVERS>\sample.exe /f
'<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices /v Pwner /t REG_SZ /d %WINDIR%\sample.bat /f
'<SYSTEM32>\taskkill.exe' /f /im explorer.exe
'<SYSTEM32>\netsh.exe' firewall set opmode disable

Завершает или пытается завершить

следующие системные процессы:

%WINDIR%\Explorer.EXE

Изменяет следующие настройки проводника Windows (Windows Explorer):

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoUserNameInStartMenu' = '1'

Изменения в файловой системе:

Создает следующие файлы:

<SYSTEM32>\10708.24756
%WINDIR%\11291.20995
<SYSTEM32>\2495.525
%WINDIR%\28748.5959
<SYSTEM32>\12324.24761
%WINDIR%\12943.1664
<SYSTEM32>\22683.8499
%WINDIR%\15364.20024
<SYSTEM32>\22093.6388
%WINDIR%\22578.19975
<SYSTEM32>\1454.19605
%WINDIR%\6500.1148
<SYSTEM32>\23578.21106
%WINDIR%\8858.16846
<SYSTEM32>\17470.102
%WINDIR%\5018.9898
<SYSTEM32>\9067.24452
%WINDIR%\22234.13566
<SYSTEM32>\26164.26967
%WINDIR%\29603.20390
<SYSTEM32>\8719.22285
%WINDIR%\2625.28371
<SYSTEM32>\14590.3266
%WINDIR%\31110.16494
<SYSTEM32>\31964.2343
%WINDIR%\30075.8091
<SYSTEM32>\24129.13798
%WINDIR%\4943.22061
<SYSTEM32>\5024.12446
%WINDIR%\16271.25856
<SYSTEM32>\28481.10405
%WINDIR%\30863.29588
<SYSTEM32>\23507.4309
%WINDIR%\15998.31527
<SYSTEM32>\2710.27919
%WINDIR%\28327.4081
<SYSTEM32>\5891.25594
%WINDIR%\17565.7800
<SYSTEM32>\26615.32739
%WINDIR%\26417.31825
<SYSTEM32>\19729.17492
%WINDIR%\21430.16613
<SYSTEM32>\20138.29708
%WINDIR%\12217.29775
<SYSTEM32>\25052.15041
%WINDIR%\23813.29418
<SYSTEM32>\5313.7868
%WINDIR%\1643.5876
<SYSTEM32>\1920.6470
%WINDIR%\22158.14948
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\cleanscreen[1].swf
%WINDIR%\4048.8976
<SYSTEM32>\18665.17449
%WINDIR%\21077.6202
<SYSTEM32>\13727.10935
%WINDIR%\3264.14504
<SYSTEM32>\23549.11598
%WINDIR%\10013.13781
<SYSTEM32>\10838.23300
%WINDIR%\23496.5941
<SYSTEM32>\18518.19911
%WINDIR%\2970.18404
<SYSTEM32>\19005.3096
%WINDIR%\22756.7566
<SYSTEM32>\13296.2387
%WINDIR%\1792.19537
<SYSTEM32>\13134.14292
%WINDIR%\30827.21297
<SYSTEM32>\27228.32461
%WINDIR%\13722.11715
<SYSTEM32>\26290.4261
%WINDIR%\29519.5470
<SYSTEM32>\5125.24099
%WINDIR%\5124.9629
<SYSTEM32>\7138.13524
%WINDIR%\757.367
C:\25805.txt
C:\17270.txt
C:\32438.txt
C:\16426.txt
C:\10774.txt
C:\7155.txt
C:\25752.txt
C:\13613.txt
C:\14518.txt
C:\20134.txt
C:\31650.txt
C:\30580.txt
C:\17475.txt
C:\31930.txt
C:\27961.txt
C:\172.txt
C:\2489.txt
C:\14857.txt
C:\6988.txt
C:\10835.txt
C:\17864.txt
C:\12886.txt
C:\15436.txt
C:\3659.txt
%TEMP%\ztmp\tmp16671.exe
%TEMP%\ztmp\tmp80751.bat
C:\8322.txt
C:\16795.txt
C:\25979.txt
C:\5544.txt
C:\23511.txt
C:\32584.txt
C:\27241.txt
C:\17890.txt
C:\5991.txt
C:\28598.txt
C:\5388.txt
C:\14263.txt
<SYSTEM32>\17465.25062
%WINDIR%\8315.26561
<SYSTEM32>\11383.9587
%WINDIR%\20950.16527
<SYSTEM32>\28017.30486
%WINDIR%\222.14617
<SYSTEM32>\22553.5109
%WINDIR%\9208.17096
<SYSTEM32>\12848.17794
%WINDIR%\5528.16464
<SYSTEM32>\32309.10723
%WINDIR%\17589.32289
<SYSTEM32>\8461.24054
%WINDIR%\20557.6436
<SYSTEM32>\26737.18753
%WINDIR%\2762.18104
<SYSTEM32>\26978.25193
%WINDIR%\23426.4953
<SYSTEM32>\25964.31943
C:\31832.txt
C:\8318.txt
C:\20587.txt
C:\6088.txt
C:\28545.txt
C:\2808.txt
C:\11800.txt
C:\18303.txt
C:\6376.txt
C:\19420.txt
%WINDIR%\20406.14071
<SYSTEM32>\14160.23785
%WINDIR%\13523.14329
<SYSTEM32>\17130.6108
C:\msg.vbs
C:\29359.txt
C:\12511.txt
C:\29099.txt
C:\2023.txt