Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe <Имя диска съемного носителя>:\VolumeXX'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- расширений файлов
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' +s +h "<Имя диска съемного носителя>:\RECYCLERMD4"
- '<SYSTEM32>\attrib.exe' +s +h "<Имя диска съемного носителя>:\VolumeXX\desktop.ini"
- '<SYSTEM32>\attrib.exe' +s +h "<Имя диска съемного носителя>:\VolumeXX"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\run_rlh_tmp.bat" "
- '<SYSTEM32>\ping.exe' 88.99.00.00
- '<SYSTEM32>\mshta.exe' "%APPDATA%\Microsoft\NTUSER_LOG.hta"
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '1'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Internat Explorer.html
- %ALLUSERSPROFILE%\Start Menu\Internat Explorer.html
- %APPDATA%\Microsoft\NTUSER_LOG.hta
- %TEMP%\run_rlh_tmp.bat
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Program Manager'
