Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%WINDIR%\system\wdm.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\brko.exe
- %WINDIR%\system\wdm.exe
Запускает на исполнение:
- <SYSTEM32>\net1.exe user Guest 39k4ds7o70j4
- <SYSTEM32>\net1.exe user SUPPORT_388945a0 39k4ds7o70j4
- <SYSTEM32>\shutdown.exe -r -t 00
- <SYSTEM32>\net1.exe user %USERNAME% 39k4ds7o70j4
- <SYSTEM32>\net1.exe user ASPNET 39k4ds7o70j4
- <SYSTEM32>\net1.exe user HelpAssistant 39k4ds7o70j4
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\SystemCertificates\My\Certificates\644CE3CC7C780CE9F0D6BB4FE092B82E66B09592
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\3ecdffac5affbe9d7d62de6729dbf8c4_23ef5514-3059-436f-a4a7-4cefaab20eb1
- C:\System Volume Information\EFS0.LOG
- %HOMEPATH%\My Documents\My Pictures\EFS0.TMP
- %HOMEPATH%\My Documents\My Music\EFS0.TMP
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\Preferred
- %WINDIR%\system\wdm.exe
- %TEMP%\brko.exe
- %WINDIR%\system\oodbnt1.ini
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\fbf8ab98-aff7-4470-8b49-8daafdd929bb
Удаляет следующие файлы:
- %HOMEPATH%\My Documents\My Pictures\EFS0.TMP
- C:\System Volume Information\EFS0.LOG
- %HOMEPATH%\My Documents\My Music\EFS0.TMP
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
