Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\recycle.bin\rundll32.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7150\7150.exe
- %LOCALAPPDATA%\microsoft\windows\actioncentercache\windows-systemtoast-securityandmaintenance_10_0.png
- %TEMP%\svchost.exe
- C:\recycle.bin\rundll32.exe
- C:\autorun.inf
- D:\recycle.bin\rundll32.exe
- D:\autorun.inf
Присваивает атрибут 'скрытый' для следующих файлов
- C:\recycle.bin\rundll32.exe
- D:\recycle.bin\rundll32.exe
- <Имя диска съемного носителя>:\recycle.bin\rundll32.exe
Удаляет файлы, которые сам же создал
- %TEMP%\7150\7150.exe
Сетевая активность
TCP
Другие
- '15#.#01.1.91':443
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Services'
- ClassName: 'TrayNotifyWnd' WindowName: ''
- ClassName: 'TrayClockWClass' WindowName: ''
- ClassName: 'Progman' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\7150\7150.exe'
- '%TEMP%\svchost.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' user user Arashjeyjey (со скрытым окном)
- '%WINDIR%\syswow64\net1.exe' user user Arashjeyjey
