Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'WMAFile'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'Pwner' = '%WINDIR%\ShotPc.bat'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PWNAGE' = '<DRIVERS>\ShotPc.bat'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoUserNameInStartMenu" /d "1" /f
- <SYSTEM32>\attrib.exe +r +a +s +h <SYSTEM32>
- <SYSTEM32>\wscript.exe "c:\msg.vbs"
- <SYSTEM32>\attrib.exe +h "ShotPc.bat"
- <SYSTEM32>\msg.exe * Virus
- <SYSTEM32>\attrib.exe +s "ShotPc.bat"
- <SYSTEM32>\attrib.exe +r "ShotPc.bat"
- <SYSTEM32>\rundll32.exe user32,SwapMouseButton
- <SYSTEM32>\reg.exe add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\ShotPc.bat""
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v PWNAGE /t REG_SZ /d <DRIVERS>\ShotPc.bat /f
- <SYSTEM32>\attrib.exe +h c:\msg.vbs
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices /v Pwner /t REG_SZ /d %WINDIR%\ShotPc.bat /f
- <SYSTEM32>\netsh.exe firewall set opmode disable
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoUserNameInStartMenu' = '1'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\31058.16469
- %WINDIR%\15501.9702
- <SYSTEM32>\9170.7414
- %WINDIR%\6247.30228
- <SYSTEM32>\402.15674
- %WINDIR%\15371.10361
- <SYSTEM32>\18152.18574
- %WINDIR%\17016.17222
- <SYSTEM32>\15854.7933
- %WINDIR%\27349.2717
- <SYSTEM32>\2386.5144
- %WINDIR%\29636.8654
- <SYSTEM32>\25530.436
- %WINDIR%\19298.1318
- <SYSTEM32>\5596.12879
- %WINDIR%\26208.30674
- <SYSTEM32>\27301.2383
- %WINDIR%\28724.22526
- %WINDIR%\32131.23996
- %WINDIR%\12880.18003
- <SYSTEM32>\26044.18511
- %WINDIR%\23607.16597
- <SYSTEM32>\16036.31064
- %WINDIR%\872.12576
- <SYSTEM32>\22487.19297
- %WINDIR%\16389.21275
- <SYSTEM32>\28938.4043
- %WINDIR%\30838.29513
- <SYSTEM32>\21261.6348
- %WINDIR%\22585.13540
- <SYSTEM32>\6751.31166
- %WINDIR%\28881.3879
- <SYSTEM32>\9540.11313
- %WINDIR%\96.10991
- <SYSTEM32>\22710.14230
- %WINDIR%\31787.31120
- <SYSTEM32>\15595.12463
- <SYSTEM32>\4718.31235
- <SYSTEM32>\25357.30321
- %WINDIR%\7427.16735
- <SYSTEM32>\19610.27752
- %WINDIR%\9458.10647
- <SYSTEM32>\7815.982
- %WINDIR%\9209.15246
- <SYSTEM32>\12769.3984
- %WINDIR%\29442.6509
- <SYSTEM32>\7889.15794
- %WINDIR%\9889.9561
- <SYSTEM32>\14659.27565
- %WINDIR%\9749.18995
- <SYSTEM32>\26596.15325
- %WINDIR%\21340.11345
- <SYSTEM32>\23644.14024
- %WINDIR%\24427.2124
- <SYSTEM32>\17524.185
- %WINDIR%\7067.26891
- %WINDIR%\22778.21120
- %WINDIR%\16912.12516
- <SYSTEM32>\8690.10452
- %WINDIR%\266.25540
- <SYSTEM32>\10309.23608
- %WINDIR%\4055.11836
- <SYSTEM32>\29175.22008
- %WINDIR%\22999.28113
- <SYSTEM32>\9566.10245
- %WINDIR%\1675.5436
- <SYSTEM32>\27458.24906
- %WINDIR%\9308.20423
- <SYSTEM32>\6745.17404
- %WINDIR%\181.19741
- <SYSTEM32>\5385.29349
- %WINDIR%\17536.30398
- <SYSTEM32>\20088.611
- %WINDIR%\13237.16405
- <SYSTEM32>\32696.10585
- C:\26697.txt
- C:\21529.txt
- C:\20271.txt
- C:\9741.txt
- C:\24468.txt
- C:\26964.txt
- C:\9200.txt
- C:\15234.txt
- C:\11096.txt
- C:\26293.txt
- C:\721.txt
- C:\16895.txt
- C:\10742.txt
- C:\5502.txt
- C:\6597.txt
- C:\248.txt
- C:\11076.txt
- C:\6249.txt
- C:\22058.txt
- C:\6518.txt
- C:\23532.txt
- C:\24326.txt
- C:\13275.txt
- C:\28900.txt
- C:\26795.txt
- %TEMP%\1.tmp\ShotPc.bat
- C:\29780.txt
- C:\14750.txt
- C:\26341.txt
- C:\32365.txt
- C:\24147.txt
- C:\22365.txt
- C:\2175.txt
- C:\4407.txt
- C:\6787.txt
- C:\12975.txt
- C:\3003.txt
- C:\26451.txt
- %WINDIR%\9237.3354
- <SYSTEM32>\18585.1028
- %WINDIR%\13593.13265
- <SYSTEM32>\30160.4624
- %WINDIR%\31848.18716
- <SYSTEM32>\31339.31704
- %WINDIR%\11705.22549
- <SYSTEM32>\23218.7706
- %WINDIR%\6198.4951
- <SYSTEM32>\2166.5112
- %WINDIR%\29609.17781
- <SYSTEM32>\22310.8817
- %WINDIR%\15059.21838
- <SYSTEM32>\14772.24214
- %WINDIR%\6851.9826
- <SYSTEM32>\21156.28139
- %WINDIR%\7804.10404
- <SYSTEM32>\25216.4321
- <SYSTEM32>\25961.22459
- C:\8463.txt
- C:\11010.txt
- C:\4544.txt
- C:\13775.txt
- C:\5686.txt
- C:\2449.txt
- C:\3350.txt
- C:\24216.txt
- C:\8209.txt
- %WINDIR%\23921.3852
- <SYSTEM32>\10666.29519
- %WINDIR%\4370.28378
- <SYSTEM32>\6822.1349
- C:\msg.vbs
- C:\3223.txt
- C:\15450.txt
- C:\6885.txt
- C:\25227.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\msg.vbs
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
