Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Control\SafeBoot\Network] 'ctfmon.exe' = 'ctfmon.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe] 'Debugger' = 'avmgsa.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ctfmon.exe' = 'ctfmon.exe'
- [<HKLM>\SYSTEM\ControlSet001\Control\SafeBoot\Minimal] 'ctfmon.exe' = 'ctfmon.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\CACHE-19204730\comd.sys
- <Имя диска съемного носителя>:\CACHE-19204730\Desktop.ini
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<SYSTEM32>\avmgsa.exe' = '<SYSTEM32>\avmgsa.exe:*:Enabled:Windows Live'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\avmgsa.exe' = '<SYSTEM32>\avmgsa.exe:*:Enabled:Windows Live'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует:
- Компонент восстановления системы (SR)
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- '<SYSTEM32>\avmgsa.exe'
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' config NOD32krn start= disabled
- '<SYSTEM32>\sc.exe' stop NOD32krn
- '<SYSTEM32>\ipconfig.exe' /flushdns
- '<SYSTEM32>\sc.exe' delete NOD32krn
- '<SYSTEM32>\net1.exe' stop NOD32krn
- '<SYSTEM32>\net.exe' stop NOD32krn
- '<SYSTEM32>\sc.exe' stop avg8wd
- '<SYSTEM32>\net.exe' stop avg8wd
- '<SYSTEM32>\sc.exe' config avg8wd start= disabled
- '<SYSTEM32>\sc.exe' delete avg8wd
- '<SYSTEM32>\net1.exe' stop avg8wd
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Завершает или пытается завершить
следующие пользовательские процессы:
- GUARD.EXE
- spidernt.exe
- nod32.exe
- zlclient.exe
- ntvdm.exe
- MCAGENT.EXE
- fsav32.exe
- bdss.exe
- bdagent.exe
- 360tray.exe
- fsav.exe
- Drweb32w.exe
- ClamWin.exe
Ищет следующие окна с целью
обнаружения различных программ и игр:
- ClassName: 'MSBLWindowClass' WindowName: ''
Скрывает следующие процессы:
- <Полный путь к вирусу>
- <SYSTEM32>\avmgsa.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\avmgsa.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\CACHE-19204730\comd.sys
- <SYSTEM32>\avmgsa.exe
Изменяет файл HOSTS.
Самоудаляется.
Сетевая активность:
Подключается к:
- 'se#####.flash-adobe.info':34091
UDP:
- DNS ASK se#####.flash-adobe.info
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
