Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\Validar-windows.exe'
Запускает на исполнение:
- '%WINDIR%\regedit.exe' -s ".\Parche.reg"
- '<SYSTEM32>\regsvr32.exe' /S "<SYSTEM32>\LegitCheckControl.dll"
- '<SYSTEM32>\regsvr32.exe' /S "<SYSTEM32>\WgaLogon.dll"
- '<SYSTEM32>\attrib.exe' -s -h -r "<DRIVERS>\etc\hosts"
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\Temp\Legalizar\Instalar.cmd" "
- '<SYSTEM32>\taskkill.exe' /F /T /IM wgatray.exe
- '<SYSTEM32>\wscript.exe' "%WINDIR%\Temp\Legalizar\CambioClave.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\WgaLogon.dll
- <SYSTEM32>\WgaTray.exe
- %WINDIR%\Temp\Legalizar\WgaTray.exe
- <SYSTEM32>\LegitCheckControl.dll
- %WINDIR%\LegitCheckControl.New
- %WINDIR%\MGADiag.exe
- %ALLUSERSPROFILE%\Escritorio
- %WINDIR%\WgaLogon.New
- %WINDIR%\WgaTray.New
- %WINDIR%\Temp\Legalizar\WgaLogon.dll
- %WINDIR%\Temp\Legalizar\CambioClave.vbs
- %WINDIR%\Temp\Legalizar\hosts
- %TEMP%\RarSFX0\Validar-windows.exe
- %TEMP%\RarSFX0\Microsoft-Genuine-Advantage.exe
- %WINDIR%\Temp\Legalizar\Instalar.cmd
- %WINDIR%\Temp\Legalizar\MGADiag.lnk
- %WINDIR%\Temp\Legalizar\Parche.reg
- %WINDIR%\Temp\Legalizar\LegitCheckControl.dll
- %WINDIR%\Temp\Legalizar\MGADiag.exe
Удаляет следующие файлы:
- %TEMP%\RarSFX0\Validar-windows.exe
- %TEMP%\RarSFX0\Microsoft-Genuine-Advantage.exe
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
