Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\.com] '' = 'txtfile'
- [<HKLM>\SOFTWARE\Classes\.cmd] '' = 'txtfile'
- [<HKLM>\SOFTWARE\Classes\.bat] '' = 'txtfile'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '<Имя вируса>.exe' = '<Полный путь к вирусу>'
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'exefile:p'
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'txtfile'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Редактора реестра (RegEdit)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c c:\ascaris.bat
- <SYSTEM32>\taskkill.exe /f /im 360tray.exe
- <SYSTEM32>\taskkill.exe /im 360tray.exe /f
- <SYSTEM32>\cmd.exe /c c:\УрТн.bat
- <SYSTEM32>\cmd.exe /c c:\1.bat
- <SYSTEM32>\cmd.exe /c c:\±шНЕ.bat
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoControlPanel' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\ascaris.dll
- C:\ascaris.bat
- <Текущая директория>\vbs.vbs
- C:\±шНЕ.bat
- C:\УрТн.bat
- C:\cc.ico
- C:\1.bat
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
