Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run] 'st' = '<SYSTEM32>\<Имя файла>.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
изменяет следующие системные настройки:
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoLogOff' = '00000001'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoClose' = '00000001'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\e_n60005\krnln.fnr
- %TEMP%\e_n60005\iext.fnr
- %TEMP%\e_n60005\eapi.fne
- %TEMP%\e_n60005\shell.fne
- %WINDIR%\syswow64\<Имя файла>.exe
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cacls.exe' <SYSTEM32>\cmd.exe /e /c /p everyone:n (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistrytools /t reg_dword /d 1 /f (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistrytools /t reg_dword /d 1 /f
Пытается завершить работу операционной системы Windows.
