Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ykwf] 'Start' = '00000000'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s c:\registro2.reg
- '<SYSTEM32>\cmd.exe' /c C:\driver.bat
- '%WINDIR%\regedit.exe' /s c:\registro1.reg
- '<SYSTEM32>\reg.exe' ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
Изменения в файловой системе:
Создает следующие файлы:
- C:\registro2.reg
- C:\driver.bat
- <DRIVERS>\dfawbr.sys
- C:\dfawbr.sys
- <SYSTEM32>\nymdchtq.ttt
- C:\registro1.reg
Удаляет следующие файлы:
- C:\registro2.reg
- C:\registro1.reg
- C:\dfawbr.sys
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
