Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN] 'ctfmon' = 'C:\win10sy32l.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
- Центр обеспечения безопасности (Security Center)
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\mspaint.exe
Изменения в файловой системе
Создает следующие файлы
- C:\win10sy32l.exe
- C:\notepad32.dll
- %LOCALAPPDATA%\microsoft\windows\actioncentercache\windows-systemtoast-securityandmaintenance_10_0.png
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Aplicativo ItaГє'
Создает и запускает на исполнение
- 'C:\win10sy32l.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\mspaint.exe' (со скрытым окном)
- '<SYSTEM32>\svchost.exe' -k LocalSystemNetworkRestricted -p -s DeviceAssociationService
