Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\At1.job
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\update.bat" "
- '<SYSTEM32>\attrib.exe' +h %WINDIR%\ver.ini
- '<SYSTEM32>\at.exe' 14:31 %WINDIR%\check.bat
- '<SYSTEM32>\at.exe' /delete /y
- '<SYSTEM32>\tskill.exe' ravmon
- '<SYSTEM32>\regsvr32.exe' /s %WINDIR%\MSSTDFMT.DLL
- '<SYSTEM32>\regsvr32.exe' /s %WINDIR%\scrrun.dll
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\winupdate.bat" "
- '<SYSTEM32>\regsvr32.exe' /s %WINDIR%\REGTOOL5.DLL
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\winupdate.bat
- C:\VMPFull_Tencent.COM
- %WINDIR%\scrrun.dll
- %WINDIR%\<Имя вируса>.exe
- %WINDIR%\update.bat
- %WINDIR%\systmp.txt
- %WINDIR%\ver.ini
- %WINDIR%\check.bat
- %WINDIR%\xaclgn.cfg
- %WINDIR%\AUTOFIX.EXE
- %WINDIR%\CABARC.EXE
- %WINDIR%\AppRule.dat
- %WINDIR%\AppRule.fwr
- %WINDIR%\FWUserAuditRul.xml
- %WINDIR%\Upload.dll
- %WINDIR%\winxp.reg
- %WINDIR%\MSSTDFMT.DLL
- %WINDIR%\REGTOOL5.DLL
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\ver.ini
- %WINDIR%\<Имя вируса>.exe
- C:\VMPFull_Tencent.COM
Удаляет следующие файлы:
- %TEMP%\~DF88B2.tmp
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
