Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%TEMP%\ada5.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%TEMP%\ada3.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Создает и запускает на исполнение:
- '%TEMP%\1234.exe'
- '%TEMP%\ada5.exe'
- '%TEMP%\ada3.exe'
Запускает на исполнение:
- '<SYSTEM32>\mode.com' 67,16
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\.BAT" "
Завершает или пытается завершить
следующие пользовательские процессы:
- outpost.exe
- AVP.EXE
- bdagent.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1234.exe
- %TEMP%\2848-0.jpg
- %TEMP%\ada5.exe
- %TEMP%\ada3.exe
- %TEMP%\.BAT
Удаляет следующие файлы:
- %TEMP%\2848-0.jpg
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
