Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\cftmonaa.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\Your Product\cftmonaa.exe'
- '%TEMP%\_ir_sf7_temp_0\irsetup.exe' "__IRAFN:<Полный путь к вирусу>"
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Your Product\msg.exe
- %PROGRAM_FILES%\Your Product\LAUNCH.EXE
- %PROGRAM_FILES%\Your Product\fucked.bmp
- %PROGRAM_FILES%\Your Product\taskkill.exe
- %PROGRAM_FILES%\Your Product\reg.exe
- %PROGRAM_FILES%\Your Product\netsh.exe
- %PROGRAM_FILES%\Your Product\bou1.bat
- %TEMP%\_ir_sf7_temp_0\irsetup.dat
- %TEMP%\_ir_sf7_temp_0\irsetup.exe
- %PROGRAM_FILES%\Your Product\format.com
- %PROGRAM_FILES%\Your Product\cftmonaa.exe
- %PROGRAM_FILES%\Your Product\cdr.exe
Удаляет следующие файлы:
- %TEMP%\_ir_sf7_temp_0\irsetup.exe
- %TEMP%\_ir_sf7_temp_0\irsetup.dat
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
