Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' +r InternetббExplorer.lnk
- '<SYSTEM32>\cacls.exe' IEXP1ORE.EXE /e /c /r %USERNAME%
- '<SYSTEM32>\cacls.exe' IEXP1ORE.EXE /e /c /r %USERNAME%s
- '<SYSTEM32>\cacls.exe' InternetббExplorer.lnk /e /c /r %USERNAME%
- '<SYSTEM32>\cacls.exe' InternetббExplorer.lnk /e /c /r %USERNAME%s
- '<SYSTEM32>\cacls.exe' InternetббExplorer.lnk /e /c /p everyone:r
- '%WINDIR%\regedit.exe' /s 1.reg
- '<SYSTEM32>\reg.exe' delete HKEY_CLASSES_ROOT\lnkfile /v isshortcut /f
- '<SYSTEM32>\wscript.exe' "%TEMP%\RarSFX0\qbgwxowa.vbs"
- '<SYSTEM32>\cacls.exe' IEXP1ORE.EXE /e /c /p everyone:r
- '<SYSTEM32>\attrib.exe' +r IEXP1ORE.EXE
- '<SYSTEM32>\reg.exe' delete HKEY_CLASSES_ROOT\piffile /v isshortcut /f
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Internet Exp1orer.url
- %HOMEPATH%\Desktop\Internet Explorer.lnk
- <SYSTEM32>\ie.ico
- C:\ans.txt
- %PROGRAM_FILES%\Internet Explorer\IEXP1ORE.EXE
- %TEMP%\RarSFX0\ie.EXE
- %TEMP%\RarSFX0\1.reg
- %TEMP%\RarSFX0\1.bat
- %TEMP%\RarSFX0\a.bat
- %TEMP%\RarSFX0\qbgwxowa.vbs
- %TEMP%\RarSFX0\ie.ico
Удаляет следующие файлы:
- %TEMP%\RarSFX0\a.bat
- %TEMP%\RarSFX0\ie.ico
- %TEMP%\RarSFX0\qbgwxowa.vbs
- %TEMP%\RarSFX0\ie.EXE
- %TEMP%\RarSFX0\1.bat
- %TEMP%\RarSFX0\1.reg
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '%HOMEPATH%\Desktop'
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
