Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\txtfile\shell\open\command] '' = 'CSRSS.exe %1'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Norton Auto-Protect' = 'CSRSS.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /F /IM NPFMESSENGER.EXE /IM NSCHED32.EXE /IM NTVDM.EXE /IM NVARCH16.EXE /IM NWINST4.EXE /IM NWTOOL16.EXE /IM OSTRONET.EXE /IM OUTPOST.EXE /IM OUTPOSTINSTALL.EXE /IM OUTPOSTPROINSTALL.EXE /IM PADMIN.EXE /IM PANIXK.EXE /IM PAVPROXY.EXE /IM PCC2002S902.EXE /IM PCC2K_76_1436.EXE /IM PCCIOMON.EXE /IM PCDSETUP.EXE /IM PCFWALLICON.EXE /IM PCIP10117_0.EXE /IM PDSETUP.EXE /IM PERISCOPE.EXE /IM PERSFW.EXE /IM PF2.EXE /IM PFWADMIN.EXE /IM PINGSCAN.EXE /IM PLATIN.EXE /IM POPROXY.EXE /IM POPSCAN.EXE /IM PORTDETECTIVE.EXE /IM PPINUPDT.EXE /IM PPTBC.EXE /IM PPVSTOP.EXE /IM PROCEXPLORERV1.0.EXE /IM PROPORT.EXE /IM PROTECTX.EXE /IM PSPF.EXE /IM PURGE.EXE /IM PVIEW95.EXE /IM QCONSOLE.EXE /IM QSERVER.EXE /IM RAV8WIN32ENG.EXE /IM RESCUE.EXE /IM RESCUE32.EXE /IM RRGUARD.EXE /IM RSHELL.EXE /IM RTVSCN95.EXE /IM RULAUNCH.EXE /IM SAFEWEB.EXE /IM SBSERV.EXE /IM SD.EXE /IM SETUPVAMEEVAL.EXE /IM SETUP_FLOWPROTECTOR_US.EXE /IM SFC.EXE /IM SGSSFW32.EXE /IM SHELLSPYINSTALL.EXE /IM SHN.EXE /IM SMC.EXE /IM SOFI.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM SPF.EXE /IM SPHINX.EXE /IM SPYXX.EXE /IM SS3EDIT.EXE /IM ST2.EXE /IM SUPFTRL.EXE /IM SUPPORTER5.EXE /IM SYMPROXYSVC.EXE /IM SYSEDIT.EXE /IM TASKMON.EXE /IM TAUMON.EXE /IM TAUSCAN.EXE /IM TC.EXE /IM TCA.EXE /IM TCM.EXE /IM TDS-3.EXE /IM TDS2-98.EXE /IM TDS2-NT.EXE /IM TFAK5.EXE /IM TGBOB.EXE /IM TITANIN.EXE /IM TITANINXP.EXE /IM TRACERT.EXE /IM TRJSCAN.EXE /IM TRJSETUP.EXE /IM TROJANTRAP3.EXE /IM UNDOBOOT.EXE /IM UPDATE.EXE /IM VBCMSERV.EXE /IM VBCONS.EXE /IM VBUST.EXE /IM VBWIN9X.EXE /IM VBWINNTW.EXE /IM VCSETUP.EXE /IM VFSETUP.EXE /IM VIRUSMDPERSONALFIREWALL.EXE /IM VNLAN300.EXEVNPC3000.EXE /IM VPC42.EXE/IM VPFW30S.EXE /IM VPTRAY.EXE /IM VSCENU6.02D30.EXE /IM VSECOMR.EXE /IM VSHWIN32.EXE /IM VSISETUP.EXE /IM VSMAIN.EXE /IM VSMON.EXE /IM VSSTAT.EXE /IM VSWIN9XE.EXE /IM VSWINNTSE.EXE /IM VSWINPERSE.EXE /IM W32DSM89.EXE /IM W9X.EXE /IM WATCHDOG.EXE /IM WEBSCANX.EXE /IM WGFE95.EXE /IM WHOSWATCHINGME.EXE /IM WINRECON.EXE /IM WNT.EXE /IM WRADMIN.EXE /IM WRCTRL.EXE /IM WSBGATE.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM WYVERNWORKSFIREWALL.EXE /IM XPF202EN.EXE /IM ZAPRO.EXE /IM ZAPSETUP3001.EXE /IM ZATUTOR.EXE /IM ZAUINST.EXE /IM ZONALM2601.EXE /IM ZONEALARM.EXE /IM avserve2.exe
- '<SYSTEM32>\taskkill.exe' /F /IM KAVPERS40ENG.EXE /IM KERIO-PF-213-EN-WIN.EXE /IM KERIO-WRL-421-EN-WIN.EXE /IM KERIO-WRP-421-EN-WIN.EXE /IM KILLPROCESSSETUP161.EXE /IM LDPRO.EXE /IM LOCALNET.EXE /IM LOCKDOWN.EXE /IM LOCKDOWN2000.EXE /IM LSETUP.EXE /IM LUCOMSERVER.EXE /IM LUINIT.EXE /IM MCAGENT.EXE /IM MCUPDATE.EXE /IM MFW2EN.EXE /IM MFWENG3.02D30.EXE /IM MGUI.EXE /IM MINILOG.EXE /IM MOOLIVE.EXE /IM MRFLUX.EXE/IM MSCONFIG.EXE /IM MSINFO32.EXE /IM MSSMMC32.EXE /IM MU0311AD.EXE /IM NAV80TRY.EXE /IM NAVDX.EXE /IM NAVSTUB.EXE /IM NC2000.EXE /IM NCINST4.EXE /IM NDD32.EXE /IM NEOMONITOR.EXE /IM NETARMOR.EXE /IM NETINFO.EXE /IM NETMON.EXE /IM NETSCANPRO.EXE /IM NETSPYHUNTER-1.2.EXE /IM NETSTAT.EXE /IM NISSERV.EXE /IM NISUM.EXE /IM NMAIN.EXE /IM NORTON_INTERNET_SECU_3.0_407.EXE /IM NPF40_TW_98_NT_ME_2K.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM msblast.exe /IM SAVScan.exe /IM NAVAPSvc.exe /IM _Avpcc.exe /IM _avpm.exe /IM _findviru.exe /IM Ackwin32.exe /IM Alogserv.exe /IM Amon.exe /IM Anti-trojan.exe /IM Apvxdwin.exe /IM Atguard.exe /IM Ave32.exe /IM Avkserv.exe /IM Avnt.exe /IM Avpcc.exe /IM Avpm.exe /IM Avwin95.exe /IM BlackIce.exe /IM Claw95cf.exe /IM Cmgrdian.exe /IM Ecengine.exe /IM Esafe.exe /IM Findviru.exe /IM Fprot.exe /IM F-prot95.exe /IM Fp-win.exe /IM Guarddog.exe /IM Iamapp.exe /IM Iomon98.exe /IM Lookout.exe /IM Navapsvc.exe /IM Navapw32.exe /IM Navt.exe /IM Navw32.exe /IM Navwt.exe /IM Nod32.exe /IM Navwnt.exe /IM Nsplugin.exe /IM Ogrc.exe /IM Outpost.exe /IM Rav7.exe /IM Rulaunch.exe /IM Scan32.exe /IM Smss.exe /IM Spider.exe /IM Vet95.exe /IM Vettray.exe /IM Vsmain.exe /IM Zonalarm.exe /IM dfw.exe /IM fsav32.exe /IM fsbwsys.exe /IM fsgk32.exe /IM fsm32.exe /IM fssm32.exe /IM fvprotect.exe /IM mcagent.exe /IM navdx.exe
- '<SYSTEM32>\taskkill.exe' /F /IM navstub.exe /IM nc2000.exe /IM ndd32.exe /IM netarmor.exe /IM netinfo.exe /IM netmon.exe /IM nmain.exe /IM nprotect.exe /IM ntvdm.exe /IM ostronet.exe /IM pccguide.exe /IM pcciomon.exe /IM regedit.exe /IM regedit32.exe /IM taskmgr.exe /IM tnbutil.exe /IM vbcons.exe /IM vbsntw.exe /IM vbust.exe /IM vsmain.exe /IM vsmon.exe /IM vsstat.exe /IM winlogon.exe /IM ATUPDATER.exe /IM AVWUPD32.exe /IM AVPUPD.exe /IM LUALL.exe /IM DRWEBUPW.exe /IM ICSSUPPNT.exe /IM ICSUPP95.exe /IM UPDATE.exe /IM NUPGRADE.exe /IM ATUPDATER /IM AUPDATE.exe /IM AUTODOWN.exe /IM AUTOTRACE.exe /IM AUTOUPDATE.exe /IM AVXQUAR.exe /IM CFIAUDIT.exe /IM MCUPDATE.exe /IM NUPGRADE.exe /IM AVLTMAIN.exe /IM ccApp.exe /IM AGENTSVR.exe /IM ANTIVIRUS.exe /IM ANTS.EXE /IM APIMONITOR.EXE /IM APLICA32.EXE /IM ATCON.EXE /IM ATRO55EN.EXE /IM ATWATCH.EXE /IM AVCONSOL.EXE /IM AVGSERV9.EXE /IM AVSYNMGR.EXE /IM AVprotect9x.exe /IM Au.exe /IM BD_PROFESSIONAL.EXE /IM BIDEF.EXE /IM BIDSERVER.EXE /IM BIPCP.EXE /IM BIPCPEVALSETUP.EXE
- '<SYSTEM32>\taskkill.exe' /F /IM BISP.EXE /IM BLACKD.EXE /IM BOOTWARN.EXE /IM BORG2.EXE /IM BS120.EXE /IM CDP.EXE /IM CFGWIZ.EXE /IM CFIADMIN.EXE /IM CFINET.EXE /IM CFINET32.EXE /IM CLEAN.EXE /IM CLEANER.EXE /IM CLEANER3.EXE /IM CLEANPC.EXE /IM CMGRDIAN.EXE /IM CMON016.EXE /IM CPD.EXE /IM CPF9X206.EXE /IM CPFNT206.EXE /IM CV.EXE /IM CWNB181.EXE /IM CWNTDWMO.EXE /IM D3dupdate.exe /IM DEFWATCH.EXE /IM DEPUTY.EXE /IM DPF.EXE /IM DPFSETUP.EXE /IM DRWATSON.EXE /IM DRWEBUPW.EXE /IM ENT.EXE /IM ESCANH95.EXE /IM ESCANHNT.EXE /IM ESCANV95.EXE /IM EXANTIVIRUS-CNET.EXE /IM FAST.EXE/IM FIREWALL.EXE/IM FLOWPROTECTOR.EXE /IM FP-WIN_TRIAL.EXE /IM FRW.EXE /IM FSAV.EXE /IM FSAV530STBYB.EXE /IM FSAV530WTBYB.EXE /IM FSAV95.EXE /IM GBMENU.EXE /IM GBPOLL.EXE /IM GUARD.EXE /IM HACKTRACERSETUP.EXE /IM HTLOG.EXE /IM HWPE.EXE /IM IAMAPP.EXE /IM IAMSERV.EXE /IM ICLOAD95.EXE /IM ICLOADNT.EXE /IM ICMON.EXE/IM ICSSUPPNT.EXE /IM ICSUPP95.EXE /IM ICSUPPNT.EXE /IM IFW2000.EXE /IM IPARMOR.EXE /IM IRIS.EXE /IM JAMMER.EXE /IM KAVLITE40ENG.EXE
Завершает или пытается завершить
следующие пользовательские процессы:
- AVPM.EXE
- AVPCC.EXE
- fsav32.exe
- nod32.exe
- NAVAPW32.EXE
- ZONEALARM.EXE
- ntvdm.exe
- outpost.exe
- AVSYNMGR.EXE
- zapro.exe
- Drwebupw.exe
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoRun' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\NAV\Naked Britney.exe
- %PROGRAM_FILES%\NAV\Naked Celebrity.exe
- %PROGRAM_FILES%\NAV\Celeb uncensord.exe
- %PROGRAM_FILES%\NAV\Naked WWE Divas.exe
- %PROGRAM_FILES%\NAV\Paris Hilton.exe
- %PROGRAM_FILES%\NAV\PORNO.exe
- %PROGRAM_FILES%\NAV\XXX.exe
- C:\mIRC\Nude Britney.exe
- C:\mIRC\Mirc.ini
- C:\mIRC\Script.ini
- %PROGRAM_FILES%\mIRC\Script.ini
- %PROGRAM_FILES%\NAV\SUCK.exe
- %PROGRAM_FILES%\mIRC\Nude Britney.exe
- %PROGRAM_FILES%\mIRC\Mirc.ini
- C:\My Downloads\Paris Hilton.exe
- C:\My Downloads\PORNO.exe
- C:\My Downloads\XXX.exe
- C:\My Downloads\Porn.exe
- %WINDIR%\CSRSS.exe
- C:\My Downloads\Sex.exe
- C:\My Downloads\SUCK.exe
- %PROGRAM_FILES%\NAV\Sex.exe
- %PROGRAM_FILES%\NAV\Porn.exe
- C:\My Downloads\Celeb uncensord.exe
- C:\My Downloads\Naked WWE Divas.exe
- C:\My Downloads\Naked Britney.exe
- C:\My Downloads\Naked Celebrity.exe
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
