Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ctfmon.exe' = '<SYSTEM32>\ctfmon.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\srservice] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует:
- Компонент восстановления системы (SR)
- Центр обеспечения безопасности (Security Center)
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /va /f
- '<SYSTEM32>\reg.exe' delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /va /f
- '<SYSTEM32>\regsvr32.exe' /u /s igfxpph.dll
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- C:\RECYCLER\S-1-5-21-2052111302-484763869-725345543-1003\desktop.ini
- %TEMP%\aut1.tmp
- %TEMP%\beijing.JPG
Удаляет следующие файлы:
- <SYSTEM32>\config\AppEvent.Evt
- <SYSTEM32>\config\SysEvent.Evt
- %TEMP%\aut1.tmp
- %TEMP%\beijing.JPG
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
