Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\windows.lnk
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im KVXP.kxp
- '<SYSTEM32>\taskkill.exe' /f /im kavsvc.exe
- '<SYSTEM32>\taskkill.exe' /f /im 360sd.exe
- '<SYSTEM32>\taskkill.exe' /f /im Rav.exe
- '<SYSTEM32>\taskkill.exe' /f /im VsTskMgr.exe
- '<SYSTEM32>\taskkill.exe' /f /im Mcshield.exe
- '<SYSTEM32>\taskkill.exe' /f /im Ravmon.exe
- '<SYSTEM32>\taskkill.exe' /f /im QQPCTray.exe
- '<SYSTEM32>\taskkill.exe' /f /im QQPCRTP.exe
- '<SYSTEM32>\taskkill.exe' /f /im QQPCMgr.exe
- '<SYSTEM32>\reg.exe' DELETE HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\ /va /f
- '<SYSTEM32>\taskkill.exe' /f /im 360safe.exe
- '<SYSTEM32>\taskkill.exe' /f /im 360cn.exe
- '<SYSTEM32>\taskkill.exe' /f /im 360.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\My Documents\<Имя вируса>.exe
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'taskmgr.exe'
- ClassName: '(null)' WindowName: 'taskhost.exe'
- ClassName: '(null)' WindowName: 'sethc.exe'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'SogouCloud'
- ClassName: '(null)' WindowName: '(null)'
