Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'DwmHelper' = '%LOCALAPPDATA%\Microsoft\Windows\Themes\dwm_helper.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\dwmhelperelevate
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM taskmgr.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\event.log
- %LOCALAPPDATA%\microsoft\windows\themes\dwm_helper.exe
- %LOCALAPPDATA%\microsoft\windows\themes\dwm_svc.exe
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%LOCALAPPDATA%\microsoft\windows\themes\dwm_helper.exe'
- '%LOCALAPPDATA%\microsoft\windows\themes\dwm_svc.exe' --watchdog 5504
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn DwmHelperElevate /tr %LOCALAPPDATA%\Microsoft\Windows\Themes\dwm_helper.exe /sc onlogon /rl highest /f
