Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\regsvr32.exe "<DRIVERS>\richtx32.ocx" /s
- <SYSTEM32>\regsvr32.exe "<DRIVERS>\msinet.ocx" /s
- <SYSTEM32>\taskkill.exe /im hsswd.exe /f
- <SYSTEM32>\taskkill.exe /im sbiesvc.exe /f
- <SYSTEM32>\regsvr32.exe "<DRIVERS>\shdocvw.dll" /s
- <SYSTEM32>\taskkill.exe /im sbiectrl.exe /f
- <SYSTEM32>\cmd.exe /c %TEMP%\ok.bat
- <SYSTEM32>\ntvdm.exe -f -i1
- <SYSTEM32>\cmd.exe /c %TEMP%\regs.bat
- <SYSTEM32>\cmd.exe /c %TEMP%\rtx.bat
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\scs1.tmp
- %TEMP%\regs.bat
- %TEMP%\rtx.bat
- %WINDIR%\Temp\scs2.tmp
- <DRIVERS>\shdocvw.dll
- <DRIVERS>\msinet.ocx
- <DRIVERS>\richtx32.ocx
- %TEMP%\supermegaspoof.exe
- %TEMP%\smss.exe
- %TEMP%\ok.bat
- %TEMP%\csrss.exe
- %TEMP%\shdocvw.dll
- %TEMP%\richtx32.ocx
- %TEMP%\msinet.ocx
Удаляет следующие файлы:
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
- %TEMP%\~DFC73E.tmp
Другое:
Ищет следующие окна:
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b98.b9c.390002'
- ClassName: '' WindowName: ''
