Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'TestUSBWorm' = '<SYSTEM32>\USBWorm.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\USBWorm.exe'
Запускает на исполнение:
- '<SYSTEM32>\taskhost.exe' import key.reg
- '<SYSTEM32>\conhost.exe' /c bat.bat
- '%WINDIR%\explorer.exe' /c bat.bat
- '<SYSTEM32>\taskhost.exe' /c bat.bat
- '%WINDIR%\explorer.exe' import key.reg
- '<SYSTEM32>\reg.exe' import key.reg
- '%WINDIR%\explorer.exe' C:\
- '%WINDIR%\explorer.exe' /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
- '<SYSTEM32>\conhost.exe' import key.reg
- '<SYSTEM32>\reg.exe' /c bat.bat
Изменения в файловой системе:
Создает следующие файлы:
- \Device\Mup\.host\Shared Folders\vm_shara\USBWorm.exe
- \Device\Mup\.host\Shared Folders\vm_shara\AutoRun.inf
- <SYSTEM32>\USBWorm.exe
- <Текущая директория>\key.reg
- <Текущая директория>\bat.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- \Device\Mup\.host\Shared Folders\vm_shara\AutoRun.inf
- \Device\Mup\.host\Shared Folders\vm_shara\USBWorm.exe
- <SYSTEM32>\USBWorm.exe
Удаляет следующие файлы:
- <Текущая директория>\key.reg
