Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Hst' = '"%WINDIR%\Temp\hstart.exe" /noconsole /d="%WINDIR%\temp\" "%WINDIR%\temp\write.bat"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Temp\svchost.exe' 1900 /quiet
- '%WINDIR%\Temp\hstart.exe' /noconsole /silent /d="%WINDIR%\temp\" "%WINDIR%\temp\main.bat"
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s runonce.reg
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\temp\main.bat
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\hstart.exe
- %WINDIR%\Temp\realdate.com
- %WINDIR%\Temp\runonce.reg
- %WINDIR%\Temp\wget.exe
- %WINDIR%\Temp\svchost.exe
- %WINDIR%\Temp\lc.exe
- %WINDIR%\Temp\run.reg
- %WINDIR%\Temp\os.bat
- %WINDIR%\Temp\main.bat
- %WINDIR%\Temp\check.bat
- %WINDIR%\Temp\write.bat
- %WINDIR%\Temp\rest.bat
- %WINDIR%\Temp\r.bat
Удаляет следующие файлы:
- %WINDIR%\Temp\runonce.reg
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
