Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\task32.exe'
- '%TEMP%\RarSFX0\active.exe'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v win32k /t REG_SZ /d %HOMEPATH%\win32k\task32.exe /f
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Systems /v DisableTaskMgr /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /t REG_DWORD /d 1 /f
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] 'NoFolderOptions' = '00000001'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] 'NoControlPanel' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoControlPanel' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\_MEI29202\win32ui.pyd
- %TEMP%\_MEI29202\win32com.shell.shell.pyd
- %TEMP%\_MEI29202\win32trace.pyd
- %TEMP%\_MEI29202\win32console.pyd
- %TEMP%\_MEI29202\pyexpat.pyd
- %TEMP%\_MEI29202\pyHook._cpyHook.pyd
- %TEMP%\_MEI29202\pythoncom27.dll
- %TEMP%\_MEI29202\pywintypes27.dll
- %TEMP%\_MEI29202\_socket.pyd
- %TEMP%\_MEI29202\win32api.pyd
- %TEMP%\_MEI29202\_sqlite3.pyd
- %TEMP%\_MEI29202\_ssl.pyd
- %TEMP%\_MEI29202\msvcm90.dll
- %TEMP%\_MEI29202\python27.dll
- %TEMP%\_MEI29202\msvcp90.dll
- %TEMP%\_MEI29202\Microsoft.VC90.CRT.manifest
- %TEMP%\_MEI29202\msvcr90.dll
- %TEMP%\_MEI29202\select.pyd
- %TEMP%\_MEI29202\_hashlib.pyd
- %TEMP%\_MEI29202\bz2.pyd
- %TEMP%\_MEI29202\_win32sysloader.pyd
- %TEMP%\_MEI29202\unicodedata.pyd
- %TEMP%\_MEI29202\win32gui.pyd
- %HOMEPATH%\win32k\aa_scammer\Madboy.PNG
- %HOMEPATH%\win32k\aa_scammer\Madboy_2.PNG
- %HOMEPATH%\win32k\aa_scammer\Lame_2.PNG
- %HOMEPATH%\win32k\aa_scammer\3.jpg
- %HOMEPATH%\win32k\aa_scammer\Lame.PNG
- %HOMEPATH%\win32k\aa_scammer\name_calling_life_ratchet.PNG
- %HOMEPATH%\win32k\active.exe
- %HOMEPATH%\win32k\task32.exe
- %HOMEPATH%\win32k\aa_scammer\Stalking_facebook_in_real_life_and_insulting.PNG
- %HOMEPATH%\win32k\aa_scammer\Over_price.PNG
- %HOMEPATH%\win32k\aa_scammer\Scammer.PNG
- %TEMP%\tmpg6ldao\gen_py\dicts.dat
- %TEMP%\_MEI29202\mfcm90.dll
- %TEMP%\_MEI29202\mfcm90u.dll
- %TEMP%\_MEI29202\mfc90u.dll
- %TEMP%\_MEI29202\Microsoft.VC90.MFC.manifest
- %TEMP%\_MEI29202\mfc90.dll
- %TEMP%\_MEI29202\sqlite3.dll
- %TEMP%\vesmmr
- %TEMP%\tmpg6ldao\gen_py\__init__.py
- %TEMP%\_MEI29202\task32.exe.manifest
- %TEMP%\_MEI29202\eggs\mechanize-0.2.5-py2.7.egg
- %TEMP%\_MEI29202\include\pyconfig.h
- %TEMP%\_MEI28802\python27.dll
- %TEMP%\_MEI28802\_win32sysloader.pyd
- %TEMP%\_MEI28802\msvcm90.dll
- %TEMP%\_MEI28802\msvcr90.dll
- %TEMP%\_MEI28802\msvcp90.dll
- %TEMP%\_MEI28802\select.pyd
- %TEMP%\_MEI28802\_ssl.pyd
- %TEMP%\_MEI28802\win32ui.pyd
- %TEMP%\_MEI28802\bz2.pyd
- %TEMP%\_MEI28802\unicodedata.pyd
- %TEMP%\_MEI28802\_hashlib.pyd
- %TEMP%\_MEI28802\Microsoft.VC90.CRT.manifest
- %TEMP%\RarSFX0\aa_scammer\Madboy.PNG
- %TEMP%\RarSFX0\aa_scammer\name_calling_life_ratchet.PNG
- %TEMP%\RarSFX0\aa_scammer\Madboy_2.PNG
- %TEMP%\RarSFX0\aa_scammer\Lame_2.PNG
- %TEMP%\RarSFX0\aa_scammer\Lame.PNG
- %TEMP%\RarSFX0\aa_scammer\Over_price.PNG
- %TEMP%\RarSFX0\active.exe
- %TEMP%\RarSFX0\task32.exe
- %TEMP%\RarSFX0\aa_scammer\3.jpg
- %TEMP%\RarSFX0\aa_scammer\Scammer.PNG
- %TEMP%\RarSFX0\aa_scammer\Stalking_facebook_in_real_life_and_insulting.PNG
- %HOMEPATH%\Desktop\aa_scammer\Lame.PNG
- %HOMEPATH%\Desktop\aa_scammer\Lame_2.PNG
- %HOMEPATH%\Desktop\aa_scammer\3.jpg
- %TEMP%\_MEI28802\active.exe.manifest
- %TEMP%\ftvqnf
- %HOMEPATH%\Desktop\aa_scammer\Madboy.PNG
- %HOMEPATH%\Desktop\aa_scammer\Scammer.PNG
- %HOMEPATH%\Desktop\aa_scammer\Stalking_facebook_in_real_life_and_insulting.PNG
- %HOMEPATH%\Desktop\aa_scammer\Over_price.PNG
- %HOMEPATH%\Desktop\aa_scammer\Madboy_2.PNG
- %HOMEPATH%\Desktop\aa_scammer\name_calling_life_ratchet.PNG
- %TEMP%\_MEI28802\include\pyconfig.h
- %TEMP%\_MEI28802\_socket.pyd
- %TEMP%\_MEI28802\pythoncom27.dll
- %TEMP%\_MEI28802\win32api.pyd
- %TEMP%\_MEI28802\win32trace.pyd
- %TEMP%\_MEI28802\win32com.shell.shell.pyd
- %TEMP%\_MEI28802\Microsoft.VC90.MFC.manifest
- %TEMP%\_MEI28802\mfcm90u.dll
- %TEMP%\_MEI28802\pywintypes27.dll
- %TEMP%\_MEI28802\mfcm90.dll
- %TEMP%\_MEI28802\mfc90.dll
- %TEMP%\_MEI28802\mfc90u.dll
Удаляет следующие файлы:
- %TEMP%\vesmmr
- %TEMP%\ftvqnf
Сетевая активность:
Подключается к:
- 'www.dr##box.com':443
UDP:
- DNS ASK www.dr##box.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
