Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'AudioDriver' = '<SYSTEM32>\.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\attrib.exe' -h -r -s "<DRIVERS>\etc\hosts"
- '<SYSTEM32>\taskkill.exe' /f /im iexplorer.exe
- '<SYSTEM32>\reg.exe' ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives /t REG_DWORD /d 67108863 /f
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable
- '<SYSTEM32>\reg.exe' ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "AudioDriver" /d "<SYSTEM32>\.exe" /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\batfile.bat" "
- '<SYSTEM32>\taskkill.exe' /f /im taskmgr.exe
- '<SYSTEM32>\attrib.exe' +h +r +s "<SYSTEM32>\.exe"
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] 'NoDrives' = '03FFFFFF'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\explorer.virus
- <SYSTEM32>\virus
- <SYSTEM32>\explorer.lol
- <SYSTEM32>\explorer.sdlfa
- <SYSTEM32>\explorer.exe
- %TEMP%\1.tmp\batfile.bat
- <SYSTEM32>\dubistdumm.exe
- <SYSTEM32>\lol.exe
Удаляет следующие файлы:
- <SYSTEM32>\taskmgr.exe
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
