Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '<Полный путь к вирусу>' = '<Полный путь к вирусу>'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v <Полный путь к вирусу> /t REG_SZ /d "<Полный путь к вирусу>" /f
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\2820EKH4.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\2820EKH4.bat
Удаляет следующие файлы:
- %TEMP%\2820EKH4.bat
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
