Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '' = '\cmss.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- <SYSTEM32>\netsh.exe firewall add allowedprogram "\RDS.exe" "RDS.exe" ENABLE
- <SYSTEM32>\netsh.exe advfirewall firewall add rule name="cmss.exe" dir=in action=allow program="\cmss.exe" enable=yes profile=public
- <SYSTEM32>\netsh.exe advfirewall firewall add rule name="RDS.exe" dir=in action=allow program="\RDS.exe" enable=yes
- <SYSTEM32>\cacls.exe %PROGRAM_FILES%\Accessories\Common /G Everyone:f
- <SYSTEM32>\netsh.exe advfirewall firewall add rule name="RDS.exe" dir=in action=allow program="\RDS.exe" enable=yes profile=public
- <SYSTEM32>\netsh.exe advfirewall firewall add rule name="comres.exe" dir=in action=allow program="\comres.exe" enable=yes
- <SYSTEM32>\netsh.exe firewall add allowedprogram "\comres.exe" "comres.exe" ENABLE
- <SYSTEM32>\netsh.exe advfirewall firewall add rule name="comres.exe" dir=in action=allow program="\comres.exe" enable=yes profile=public
- <SYSTEM32>\netsh.exe advfirewall firewall add rule name="cmss.exe" dir=in action=allow program="\cmss.exe" enable=yes
- <SYSTEM32>\netsh.exe firewall add allowedprogram "\cmss.exe" "cmss.exe" ENABLE
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Accessories\Common\desktop.ini
