Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v "PendingFileRenameOperations2" /t "REG_MULTI_SZ" /d "\??\%WINDIR%\ime0\0\??%WINDIR%\ime\0\??\%WINDIR%\ime\scripts.ini\0\??\<SYSTEM32>\GroupPolicy\user\Scripts\scripts.ini" /f
- '<SYSTEM32>\tasklist.exe'
- '<SYSTEM32>\findstr.exe' /i "ravmond.exe 360tray.exe kxetray.exe "
- '<SYSTEM32>\wscript.exe' "%WINDIR%\temp\saz.vbs"
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\temp\sso.bat" "
- '<SYSTEM32>\attrib.exe' <SYSTEM32>\GroupPolicy\*.* -r -s -h /s /d
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Debug\ttb.dat
- %WINDIR%\Debug\debug.dat
- <SYSTEM32>\GroupPolicy\gpt.ini
- %WINDIR%\ime\scripts.ini
- %WINDIR%\Temp\scripts.ini
- %WINDIR%\Debug\error.gg
- %WINDIR%\Temp\sso.bat
- %WINDIR%\Temp\saz.vbs
- %WINDIR%\Temp\tb.dat
- %WINDIR%\Temp\woti.dat
- %WINDIR%\Temp\win.bat
Перемещает следующие файлы:
- %WINDIR%\Temp\win.bat в %WINDIR%\Debug\win.bat
- %WINDIR%\Temp\scripts.ini в %WINDIR%\Debug\scripts.ini
- %WINDIR%\Temp\woti.dat в %WINDIR%\Debug\debug.dat
- %WINDIR%\Temp\tb.dat в %WINDIR%\Debug\ttb.dat
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
