Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ati2pk] 'ImagePath' = '%HOMEPATH%\antisg.sys'
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\rpcss.dll
Заражает следующие исполняемые файлы:
- <SYSTEM32>\rpcss.dll
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\sh17027.exe'
- '<SYSTEM32>\r17027.exe' %TEMP%\~027e00.~~~ abcdef <Полный путь к вирусу>
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c del %TEMP%\*.~~~
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Завершает или пытается завершить
следующие пользовательские процессы:
- dnf.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\sh17027.dll
- <SYSTEM32>\sh17027.exe
- %HOMEPATH%\antisg.sys
- <SYSTEM32>\csrss.dll
- %TEMP%\~027e00.~~~
- <SYSTEM32>\r17027.exe
- <SYSTEM32>\sh17027.add
Удаляет следующие файлы:
- %TEMP%\~027e00.~~~
- %HOMEPATH%\antisg.sys
- <SYSTEM32>\dllcache\rpcss.dll
Перемещает следующие системные файлы:
- <SYSTEM32>\rpcss.dll в <SYSTEM32>\spcss.dll
Самоудаляется.
