Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = '<SYSTEM32>\iexplorer.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = '<Полный путь к вирусу>'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\AUTORUN.INF
- <Имя диска съемного носителя>:\RECYCLER\S-1-5-21-1202660629-436374069-1417001333-1002\ninjac.exe
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c Attrib +S +H E:\AUTORUN.INF && Attrib +S +H E:\RECYCLER
- '<SYSTEM32>\attrib.exe' +S +H E:\AUTORUN.INF
- '<SYSTEM32>\attrib.exe' +S +H E:\RECYCLER
- '<SYSTEM32>\iexplorer.exe'
- '<SYSTEM32>\cmd.exe' /c c:\1.cmd
- '<SYSTEM32>\net.exe' user HelpServiceGroup hacker /add
- '<SYSTEM32>\net1.exe' user HelpServiceGroup hacker /add
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\iexplorer.exe
- %TEMP%\~DFDB99.tmp
- %TEMP%\~DF63E1.tmp
- C:\1.cmd
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\AUTORUN.INF
Удаляет следующие файлы:
- %TEMP%\~DF63E1.tmp
- C:\1.cmd
Подменяет следующие файлы:
- C:\1.cmd
Сетевая активность:
Подключается к:
- 'localhost':1040
- 'localhost':1039
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: ''
- ClassName: 'SysListView32' WindowName: 'Processes'
- ClassName: '#32770' WindowName: 'Windows Task Manager'
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
