Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] 'Debugger' = '%WINDIR%\\PCHealth\HelpCtr\Binaries\shms.com'
- [<HKLM>\SOFTWARE\Classes\comfile\shell\open\command] '' = '"<SYSTEM32>\sysint.exe" "%1" %*'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe] 'Debugger' = '%WINDIR%\\PCHealth\HelpCtr\Binaries\shms.com'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe] 'Debugger' = '<SYSTEM32>\user.cmd'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe] 'Debugger' = '%WINDIR%\\PCHealth\HelpCtr\Binaries\shms.com'
- [<HKLM>\SOFTWARE\Classes\batfile\shell\open\command] '' = '"<SYSTEM32>\sysint.exe" "%1" %*'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'gitu' = '<LS_APPDATA>\WINDOWS\Maniez.EXE'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '%USERNAME% Maniez' = '<SYSTEM32>\sysint.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe "<SYSTEM32>\CHMOD.exe"'
- [<HKCU>\Control Panel\Desktop] 'SCRNSAVE.EXE' = '<SYSTEM32>\NiceGirl.SCR'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,<SYSTEM32>\sysint.exe'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\adobe.com
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\Punya %USERNAME%.exe
- <Имя диска съемного носителя>:\Tugas .exe
- <Имя диска съемного носителя>:\Temp\sys.exe
- <Имя диска съемного носителя>:\Temp\Folder.htt
- <Имя диска съемного носителя>:\desktop.ini
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует:
- Cредство проверки системных файлов (SFC)
Завершает или пытается завершить
следующие пользовательские процессы:
- ecmd.exe
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = ''
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Internet Explorer\Main] 'Window Title' = 'Maniez Thea'
Изменения в файловой системе:
Создает следующие файлы:
- C:\Temp\Folder.htt
- C:\desktop.ini
- <SYSTEM32>\debug.cmd
- <SYSTEM32>\setup_.com
- C:\Tugas .exe
- <LS_APPDATA>\Recycle\Maniez.EXE
- C:\Temp\sys.exe
- C:\Punya %USERNAME%.exe
- <SYSTEM32>\NiceGirl.scr
- <SYSTEM32>\sysint.exe
- <SYSTEM32>\Updated.exe
- %WINDIR%\ch.bin
- %WINDIR%\pchealth\helpctr\binaries\shms.com
- <SYSTEM32>\CHMOD.exe
- <SYSTEM32>\user.cmd
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\desktop.ini
- <Имя диска съемного носителя>:\Temp\Folder.htt
- <Имя диска съемного носителя>:\desktop.ini
- C:\Temp\Folder.htt
- <SYSTEM32>\Updated.exe
- <SYSTEM32>\sysint.exe
- <SYSTEM32>\CHMOD.exe
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: '#32770' WindowName: 'iKnowPS'
- ClassName: 'AVG70wndclass_bas' WindowName: ''
- ClassName: 'TWRMainForm' WindowName: ''
- ClassName: '#32770' WindowName: 'System Configuration Utility'
- ClassName: 'Notepad' WindowName: ''
- ClassName: 'Edit' WindowName: ''
- ClassName: 'ThunderRT6Form' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'ConsoleWindowClass' WindowName: ''
- ClassName: 'ProceXPL' WindowName: ''
- ClassName: '#32770' WindowName: 'RUN'
- ClassName: '#32770' WindowName: 'Windows Task Manager'
- ClassName: 'ThunderRT6FormDC' WindowName: 'HijackThis - v1.99.1'
- ClassName: 'TReg_Frm' WindowName: ''
- ClassName: 'ThunderRT6FormDC' WindowName: 'Show/Kill Running Process'
- ClassName: 'MMCMainFrame' WindowName: ''
- ClassName: 'SYMIntegratorWnd' WindowName: ''
