Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\tskill.exe NMain
- <SYSTEM32>\tskill.exe Firefox
- <SYSTEM32>\tskill.exe iexplorer
- <SYSTEM32>\tskill.exe msnmsgr
- <SYSTEM32>\tskill.exe Limewire
- <SYSTEM32>\tskill.exe explorer
- <SYSTEM32>\msg.exe * You got owned!
- <SYSTEM32>\msg.exe * Say Bye to your computer n00b
- %WINDIR%\explorer.exe
- <SYSTEM32>\tskill.exe AVGUARD
- <SYSTEM32>\msg.exe * Awww Your computer is now fucked
- <SYSTEM32>\net.exe stop sharedaccess
- <SYSTEM32>\net1.exe stop sharedaccess
- <SYSTEM32>\net1.exe stop "Security center"
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\batchfile.bat" "
- <SYSTEM32>\net.exe stop "Security center"
- <SYSTEM32>\netsh.exe firewall set opmode mode-disable
- <SYSTEM32>\attrib.exe +r +h
- <SYSTEM32>\rundll32.exe USER32.DLL,SwapMouseButton
- <SYSTEM32>\attrib.exe +r +h virus.bat
- <SYSTEM32>\attrib.exe +r +h %WINDIR%\startm~1\program\startup\shroom.bat
- %WINDIR%\regedit.exe "c:\regstart.reg"
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- firefox.exe
- msnmsgr.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\shroom.bat
- C:\regstart.reg
- %TEMP%\1.tmp\batchfile.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\1.tmp\batchfile.bat
Другое:
Ищет следующие окна:
- ClassName: 'OleMainThreadWndClass' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
- ClassName: 'CSCHiddenWindow' WindowName: ''
- ClassName: 'SystemTray_Main' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'BaseBar' WindowName: 'ChanApp'
- ClassName: 'Proxy Desktop' WindowName: ''
