Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\HTTP\shell\open\command] '' = '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE www.babaw.com'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\SoftD\!)ЧоРВИнјюК№УГЅМіМ.exe
- %PROGRAM_FILES%\SoftD\steup.ico /Q
Запускает на исполнение:
- %WINDIR%\regedit.exe /s kang.reg
- <SYSTEM32>\cmd.exe /c ""%TEMP%\RarSFX0\kang.bat" "
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\ВМЙ«НшЦ·µјєЅ\ToolsSafe.exe
- %TEMP%\RarSFX0\kang.reg
- %HOMEPATH%\Start Menu\Programs\ВМЙ«НшЦ·µјєЅ.lnk
- %HOMEPATH%\Desktop\ВМЙ«НшЦ·µјєЅ.lnk
- %PROGRAM_FILES%\SoftD\!)ЧоРВИнјюК№УГЅМіМ.exe
- %PROGRAM_FILES%\SoftD\steup.ico
- %TEMP%\RarSFX0\kang.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\RarSFX0\kang.reg
- %TEMP%\RarSFX0\kang.bat
Удаляет следующие файлы:
- %TEMP%\RarSFX0\kang.reg
- %PROGRAM_FILES%\SoftD\steup.ico
- %TEMP%\~DF381A.tmp
- %TEMP%\RarSFX0\kang.bat
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
