Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\RarSFX0\go.exe
Запускает на исполнение:
- <SYSTEM32>\wscript.exe "%TEMP%\RarSFX0\go2.vbs"
- <SYSTEM32>\taskkill.exe /f /im ATI6.exe
- <SYSTEM32>\wscript.exe "%TEMP%\RarSFX0\go.vbs"
- %WINDIR%\regedit.exe /s "%TEMP%\HZ$D.110.2610\sfx.reg"
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\go2.vbs
- %TEMP%\HZ$D.110.2610\sfx.reg
- %TEMP%\RarSFX0\go.vbs
- %TEMP%\RarSFX0\go.bat
- %TEMP%\RarSFX0\go.exe
Удаляет следующие файлы:
- %TEMP%\RarSFX0\go.vbs
- %TEMP%\RarSFX0\go2.vbs
- %TEMP%\RarSFX0\go.bat
- %TEMP%\RarSFX0\go.exe
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
