Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Favoris.lnk
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' cryptext.dll,CryptExtAddCER c:\temp\certificat\cg48.fr-cacert.pem
- '<SYSTEM32>\net1.exe' user administrateur sicg48
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyServer' = '192.168.20.3:8080'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyEnable' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyOverride' = '192.168.*;*.local.cg48;*.local.fr;messagerie.cg48.fr;<local>;kokanee'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- C:\temp\certificat\cg48.fr-cacert.pem
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %WINDIR%\<Имя вируса>.exe
- C:\SI\FAVORIS2.3.OK
Удаляет следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %WINDIR%\<Имя вируса>.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
