live casino online

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

?bertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

F¨¹gt die folgenden Prozesse hinzu:

• %System%\cmd.exe /c vssadmin Delete Shadows /all /quiet
• %System%\cmd.exe /c bcdedit /set {default} recoveryenabled No
• %System%\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
• %System%\cmd.exe /c wmic SHADOWCOPY /nointeractive

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).)

F¨¹gt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgef¨¹hrt wird:

• 4B991369-7C7C-47AA-A81E-EF6ED1F5E24C

Andere System?nderungen

F¨¹gt die folgenden Registrierungseintr?ge hinzu:

HKEY_CURRENT_USER\Software\Proton
public = {hex values}

HKEY_CURRENT_USER\Software\Proton
full = {hex values}

Stellt auf dem System das folgende Bild als Desktop-Hintergrundbild ein:

• %Program Data%\{victim ID}.bmp
  

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• wrapper
• DefWatch
• ccEvtMgr
• ccSetMgr
• SavRoam
• Sqlservr
• sqlagent
• sqladhlp
• Culserver
• RTVscan
• sqlbrowser
• SQLADHLP
• QBIDPService
• IntuitQuickBooksFCS
• QBCFMonitorService
• msmdsrv
• tomcat6
• zhudongfangyu
• vmware-usbarbitator64
• vmware-converter
• dbsrv12
• dbeng8
• MSSQL$MICROSOFT##WID
• MSSQL$VEEAMSQL2012
• SQLAgent$VEEAMSQL2012
• SQLBrowser
• SQLWriter
• FishbowlMySQL
• MSSQL$MICROSOFT##WID
• MySQL57
• MSSQL$KAV_CS_ADMIN_KIT
• MSSQLServerADHelper100
• SQLAgent$KAV_CS_ADMIN_KIT
• msftesql-Exchange
• MSSQL$MICROSOFT##SSEE
• MSSQL$SBSMONITORING
• MSSQL$SHAREPOINT
• MSSQLFDLauncher$SBSMONITORING
• MSSQLFDLauncher$SHAREPOINT
• SQLAgent$SBSMONITORING
• SQLAgent$SHAREPOINT
• QBFCService
• QBVSS
• YooBackup
• YooIT
• vss
• sql
• svc$
• MSSQL
• MSSQL$
• memtas
• mepocs
• sophos
• veeam
• backup
• bedbg
• PDVFSService
• BackupExecVSSProvider
• BackupExecAgentAccelerator
• BackupExecAgentBrowser
• BackupExecDiveciMediaService
• BackupExecJobEngine
• BackupExecManagementService
• BackupExecRPCService
• MVArmor
• MVarmor64
• stc_raw_agent
• VSNAPVSS
• VeeamTransportSvc
• VeeamDeploymentService
• VeeamNFSSvc
• AcronisAgent
• ARSM
• AcrSch2Svc
• CASAD2DWebSvc
• CAARCUpdateSvc
• WSBExchange
• MSExchange
• MSExchange$

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgef¨¹hrt werden:

• wxServer
• wxServerView
• sqlmangr
• RAgui
• supervise
• Culture
• Defwatch
• winword
• QBW32
• QBDBMgr
• qbupdate
• axlbridge
• httpd
• fdlauncher
• MsDtSrvr
• java
• 360se
• 360doctor
• wdswfsafe
• fdhost
• GDscan
• ZhuDongFangYu
• QBDBMgrN
• mysqld
• AutodeskDesktopApp
• acwebbrowser
• Creative Cloud
• Adobe Desktop Service
• CoreSync
• Adobe CEF
• Helper
• node
• AdobeIPCBroker
• sync-taskbar
• sync-worker
• InputPersonalization
• AdobeCollabSync
• BrCtrlCntr
• BrCcUxSys
• SimplyConnectionManager
• SimplySystemTrayIcon
• fbguard
• fbserver
• ONENOTEM
• wsa_service
• koaly-exp-engine-service
• TeamViewer_Service
• TeamViewer
• tv_w32
• tv_x64
• TitanV
• Ssms
• notepad
• RdrCEF
• sam
• oracle
• ocssd
• dbsnmp
• synctime
• agntsvc
• isqlplussvc
• xfssvccon
• mydesktopservice
• ocautoupds
• encsvc
• tbirdconfig
• mydesktopqos
• ocomm
• dbeng50
• sqbcoreservice
• excel
• infopath
• msaccess
• mspub
• onenote
• outlook
• powerpnt
• steam
• thebat
• thunderbird
• visio
• wordpad
• bedbh
• vxmon
• benetns
• bengien
• pvlsvr
• beserver
• raw_agent_svc
• vsnapvss
• CagService
• DellSystemDetect
• EnterpriseClient
• ProcessHacker
• Procexp64
• Procexp
• GlassWire
• GWCtlSrv
• WireShark
• dumpcap
• j0gnjko1
• Autoruns
• Autoruns64
• Autoruns64a
• Autorunsc
• Autorunsc64
• Autorunsc64a
• Sysmon
• Sysmon64
• procexp64a
• procmon
• procmon64
• procmon64a
• ADExplorer
• ADExplorer64
• ADExplorer64a
• tcpview
• tcpview64
• tcpview64a
• avz
• tdsskiller
• RaccineElevatedCfg
• RaccineSettings
• Raccine_x86
• Raccine
• Sqlservr
• RTVscan
• sqlbrowser
• tomcat6
• QBIDPService
• notepad++
• SystemExplorer
• SystemExplorerService
• SystemExplorerService64
• Totalcmd
• Totalcmd64
• VeeamDeploymentSvc

Andere Details

Es macht Folgendes:

• It empties the Recycle Bin.
• It terminates itself if the keyboard layout is the following:
  • Persian