Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'KSafeTray' = '"%PROGRAM_FILES%\KSafe\KSafeTray.exe" -autorun'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\reboot.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' USER32.DLL,UpdatePerUserSystemParameters
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
- '%WINDIR%\regedit.exe' /s "%TEMP%\jinshan.reg"
- '<SYSTEM32>\attrib.exe' +s +r %WINDIR%\fonts
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\reboot.exe
- %TEMP%\aut3.tmp
- %TEMP%\aut1.tmp
- %TEMP%\jinshan.reg
- %HOMEPATH%\Favorites\金山导航.url
Удаляет следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut1.tmp
- %TEMP%\jinshan.reg
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'CicLoaderWndClass' WindowName: '(null)'
- ClassName: 'OleMainThreadWndClass' WindowName: '(null)'
- ClassName: 'BUTTON' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
