Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '"%TEMP%\userinit.exe"'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Редактора реестра (RegEdit)
Запускает на исполнение:
- <SYSTEM32>\taskkill.exe /F /IM icq.exe
- <SYSTEM32>\taskkill.exe /F /IM qip.exe
- <SYSTEM32>\taskkill.exe /F /IM miranda.exe
- <SYSTEM32>\taskkill.exe /F /IM chrome.exe
- <SYSTEM32>\taskkill.exe /F /IM opera.exe
- <SYSTEM32>\taskkill.exe /F /IM explorer.exe
- <SYSTEM32>\taskkill.exe /F /IM iexplore.exe
- <SYSTEM32>\taskkill.exe /F /IM firefox.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- firefox.exe
- ICQ.exe
- opera.exe
- iexplore.exe
- chrome.exe
- qip.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\userinit.exe
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
