Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command] '' = '<SYSTEM32>\grpconv.exe %1'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'GrpConv' = 'grpconv -o'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\findstr.exe' /I mpa.one <DRIVERS>\etc\HOSTS
Запускает на исполнение:
- '<SYSTEM32>\runonce.exe' -r
- '<SYSTEM32>\rundll32.exe' setupapi,InstallHinfSection DEL_OOBE_ACTIVATE 132 syssetup.inf
- '<SYSTEM32>\shutdown.exe' -r -t 00
- '<SYSTEM32>\grpconv.exe' -o
- '<SYSTEM32>\reg.exe' ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WPAEvents" /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\crack.bat" "
- '%WINDIR%\regedit.exe' /s xpcrack.reg
- '<SYSTEM32>\reg.exe' RESTORE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WPAEvents" OOBE.hiv
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\oobe.hiv
- %TEMP%\RarSFX0\xpcrack.reg
- %TEMP%\RarSFX0\crack.bat
- %TEMP%\RarSFX0\findstr.exe
Удаляет следующие файлы:
- %TEMP%\RarSFX0\oobe.hiv
- %TEMP%\RarSFX0\xpcrack.reg
- %TEMP%\RarSFX0\crack.bat
- %TEMP%\RarSFX0\findstr.exe
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
