Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /F /IM npfmn* /T
- '<SYSTEM32>\taskkill.exe' /F /IM loge* /T
- '<SYSTEM32>\taskkill.exe' /F /IM norton au* /T
- '<SYSTEM32>\taskkill.exe' /F /IM ccc* /T
- '<SYSTEM32>\taskkill.exe' /F /IM tmp* /T
- '<SYSTEM32>\taskkill.exe' /F /IM tmn* /T
- '<SYSTEM32>\taskkill.exe' /F /IM nisum* /T
- '<SYSTEM32>\taskkill.exe' /F /IM issvc /T
- '<SYSTEM32>\taskkill.exe' /F /IM zauinst /T
- '<SYSTEM32>\taskkill.exe' /F /IM upd* /T
- '<SYSTEM32>\taskkill.exe' /F /IM isafe /T
- '<SYSTEM32>\taskkill.exe' /F /IM zap* /T
- '<SYSTEM32>\taskkill.exe' /F /IM cc* /T
- '<SYSTEM32>\taskkill.exe' /F /IM norton* /T
- '<SYSTEM32>\taskkill.exe' /F /IM zlclien* /T
- '<SYSTEM32>\taskkill.exe' /F /IM minilog /T
- '<SYSTEM32>\taskkill.exe' /F /IM pcc* /T
- '<SYSTEM32>\taskkill.exe' /F /IM ad-* /T
- '<SYSTEM32>\taskkill.exe' /F /IM safe* /T
- '<SYSTEM32>\taskkill.exe' /F /IM sweep* /T
- '<SYSTEM32>\taskkill.exe' /F /IM scan* /T
- '<SYSTEM32>\taskkill.exe' /F /IM norm* /T
- '<SYSTEM32>\taskkill.exe' /F /IM offg* /T
- '<SYSTEM32>\taskkill.exe' /pid=3088
- '<SYSTEM32>\taskkill.exe' /F /IM avas* /T
- '<SYSTEM32>\taskkill.exe' /F /IM pav* /T
- '<SYSTEM32>\taskkill.exe' /F /IM padmin /T
- '<SYSTEM32>\taskkill.exe' /F /IM cpd* /T
- '<SYSTEM32>\taskkill.exe' /F /IM pop* /T
- '<SYSTEM32>\taskkill.exe' /F /IM sche* /T
- '<SYSTEM32>\taskkill.exe' /F /IM realm* /T
- '<SYSTEM32>\taskkill.exe' /F /IM panda* /T
- '<SYSTEM32>\taskkill.exe' /F /IM avsch* /T
- '<SYSTEM32>\taskkill.exe' /F /IM KAV* /T
- '<SYSTEM32>\taskkill.exe' /F /IM ZONEALARM /T
- '<SYSTEM32>\taskkill.exe' /F /IM bullguard /T
- '<SYSTEM32>\taskkill.exe' /F /IM PersFw /T
- '<SYSTEM32>\taskkill.exe' /F /IM nv* /T
- '<SYSTEM32>\taskkill.exe' /F /IM nav* /T
- '<SYSTEM32>\taskkill.exe' /F /IM SAFEWEB /T
- '<SYSTEM32>\taskkill.exe' /F /IM OUTPOST /T
- '<SYSTEM32>\net1.exe' stop УSecurity CenterФ
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\batfile.bat" "
- '<SYSTEM32>\net.exe' stop УSecurity CenterФ
- '<SYSTEM32>\taskkill.exe' /F /IM anti* /T
- '<SYSTEM32>\taskkill.exe' /F /IM spy* /T
- '<SYSTEM32>\taskkill.exe' /F /IM av* /T
- '<SYSTEM32>\taskkill.exe' /F /IM fire* /T
- '<SYSTEM32>\taskkill.exe' /F /IM F-* /T
- '<SYSTEM32>\taskkill.exe' /F /IM guar* /T
- '<SYSTEM32>\taskkill.exe' /F /IM gcasDt* /T
- '<SYSTEM32>\taskkill.exe' /F /IM ewid* /T
- '<SYSTEM32>\taskkill.exe' /F /IM guard* /T
- '<SYSTEM32>\taskkill.exe' /F /IM mghtml /T
- '<SYSTEM32>\taskkill.exe' /F /IM msiexec /T
- '<SYSTEM32>\taskkill.exe' /F /IM msmp* /T
- '<SYSTEM32>\taskkill.exe' /F /IM mcafe* /T
- '<SYSTEM32>\taskkill.exe' /F /IM BLACKICE /T
- '<SYSTEM32>\taskkill.exe' /F /IM def* /T
- '<SYSTEM32>\taskkill.exe' /F /IM ESAFE /T
- '<SYSTEM32>\taskkill.exe' /F /IM cle /T
- '<SYSTEM32>\taskkill.exe' /F /IM ash* /T
- '<SYSTEM32>\taskkill.exe' /F /IM aswupdsv /T
- '<SYSTEM32>\taskkill.exe' /F /IM kav /T
- '<SYSTEM32>\taskkill.exe' /F /IM avg* /T
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\taskkill.exe
- <SYSTEM32>\netsh.exe
следующие пользовательские процессы:
- AVGCTRL.EXE
Завершает или пытается завершить
следующие пользовательские процессы:
- NAVAPW32.EXE
- ash.exe
- AVSYNMGR.EXE
- firefox.exe
- GUARD.EXE
- zapro.exe
- ashAvast.exe
- ashAvSrv.exe
- AVGCTRL.EXE
- AVP.COM
- avgcc.exe
- AVGCC32.EXE
- AVPCC.EXE
- AVPM.EXE
- AVP.EXE
- AVP32.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1.tmp\batfile.bat
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
