Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npfwiz.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npfuser.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Njeeves.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nbrowser.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npfsvc32.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npflgutl.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nuaa.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npfrules.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npfports.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nvcsched.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EHttpSrv.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvcoa.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nvoy.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rtpsvc.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SSCVIHOST.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe] 'Debugger' = 'rundll32.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\blastclnn.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\blastclnnn.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSASCui.exe] 'Debugger' = 'rundll32.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'jre' = '%APPDATA%\Java\ߙJviewʚ.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'CRNJEUFỦ' = '%APPDATA%\Java\ϝshimgvwʅ.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe] 'Debugger' = 'rundll32.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe] 'Debugger' = 'rundll32.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\New Folder.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npc_login.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nprosec.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npcsvc32.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npc_tray.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavgd] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorunme.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scsaver.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\reg32.exe] 'Debugger' = 'cmd.exe /c del /f /q '
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ise32.exe] 'Debugger' = 'cmd.exe /c del /f /q '
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует:
- Компонент восстановления системы (SR)
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- '%APPDATA%\Java\ߙJviewʚ.exe'
- '%APPDATA%\Java\ϝshimgvwʅ.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' shimgvw.dll, ImageView_Fullscreen
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\bcrebvd
- %TEMP%\aut2.tmp
- %TEMP%\nvtrzly
- %TEMP%\aut3.tmp
- %APPDATA%\Java\ߙJviewʚ.exe
- %TEMP%\tsfrvyp
- %TEMP%\aut1.tmp
- %APPDATA%\Java\ϝshimgvwʅ.exe
- %APPDATA%\Java\Desktop.ini
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Java\ߙJviewʚ.exe
- %APPDATA%\Java\ϝshimgvwʅ.exe
- %APPDATA%\Java\Desktop.ini
Удаляет следующие файлы:
- %TEMP%\bcrebvd
- %TEMP%\aut3.tmp
- %TEMP%\nvtrzly
- %TEMP%\aut1.tmp
- %TEMP%\tsfrvyp
- %TEMP%\aut2.tmp
Сетевая активность:
UDP:
- DNS ASK www.google.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'GINA Logon'
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
