Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WinMe' = 'C:/Windows/Kernel.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Запускает на исполнение:
- <SYSTEM32>\taskkill.exe /F /IM server.pif
- <SYSTEM32>\taskkill.exe /F /IM server.bat
- <SYSTEM32>\taskkill.exe /F /IM server.com
- <SYSTEM32>\taskkill.exe /F /IM server.scr
- <SYSTEM32>\taskkill.exe /F /IM server.exe
- <SYSTEM32>\cmd.exe /c C:/windows/system32/Login.bat
- <SYSTEM32>\reg.exe add HKCU\software\microsoft\windows\currentversion\policies\system /v disableregistrytools /t reg_dword /d "1" /f
- <SYSTEM32>\reg.exe add HKCU\software\microsoft\windows\currentversion\policies\system /v disabletaskmgr /t reg_dword /d "1" /f
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Kernel.exe
- <SYSTEM32>\Login.bat
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':8560
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
