Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы. Является приложением Windows (PE-EXE файл). Имеет размер 67584 байта. Программа упакована неизвестным упаковщиком. Распакованный размер – около 40 КБ Написана на C++.
Инсталляция
Перемещает свой оригинальный файл в каталог "Application Data" текущего пользователя Windows со следующим именем:
%AppData%\{<идентификатор>}\.exe
Где <идентификатор> - цифро-буквенная последовательность, например, "C6D3BC0E-F70C-A35F-FCF3-ED7E6D83CCA7" или "641CA5E6-9E2F-9EDF-B417-33FEDEA5C0FC", которую троянец получает преобразуя значение следующего параметра ключа системного реестра:
[HKLM\SYSTEM\Setup] "Pid"
Для автоматического запуска при каждом следующем старте системы добавляет информацию в ключ системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "AD Network" = "<путь к оригинальному телу троянца> <параметр>"
Где <параметр> - шестнадцатеричное число, троянец выполняет различные действия в зависимости от значения данного параметра.
Деструктивная активность
Троянец проверяет наличие следующего файла:
%WinDir%\tmp\bot.log
При наличии использует его в качестве лог-файла своей работы. Создает файл во временном каталоге текущего пользователя Windows, не являющегося вредоносным:
%Temp%\{217F200B-97B8-468d-AC3B-8577E112EEC1}.tlb
Данный файл имеет размер 3432 байта и используется троянцем для дальнейшей работы. Проверяет наличие файла:
%AppData%\{<идентификатор>}\.cfg
данный файл является файлом-конфигурации и содержит сценарий языка JavaScript, который троянец запускает на исполнение. В файле-конфигурации содержатся URL по которым троянец может загружать свою обновленную версию, обновленную версию файла-конфигурации или файлы с командами. Получая команду, троянец может открывать различные ресурсы в браузере пользователя или загружать файлы с последующим запуском их на исполнение. Загружаемые файлы сохраняются во временном каталоге текущего пользователя Windows c расширением ".tmp":
%Temp%\<имя файла>.tmp
В зависимости от параметра с которым был запущен, троянец может выполнять следующие действия:
Выполнять инсталляцию, описанную выше.
Удалять свое тело, созданные троянцем ключи реестра и файл конфигурации.
Создавать следующие записи в ключе системного реестра: