Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\winmgmt] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %CommonProgramFiles%\System\spoolsv.exe
Запускает на исполнение:
- <SYSTEM32>\regsvr32.exe /u /s <SYSTEM32>\bbns.dll
- <SYSTEM32>\regsvr32.exe /u /s <SYSTEM32>\ieextend.dll
- <SYSTEM32>\sc.exe start winmgmt
- <SYSTEM32>\cacls.exe <SYSTEM32>\ieextend.dll /c /e /d everyone
- <SYSTEM32>\sc.exe config winmgmt start= disabled
- <SYSTEM32>\sc.exe stop winmgmt
- <SYSTEM32>\cacls.exe <SYSTEM32>\bbns.dll /c /e /d everyone
- <SYSTEM32>\net1.exe stop spooler
- <SYSTEM32>\attrib.exe +H +S "%CommonProgramFiles%\System\spoolsv.exe"
- <SYSTEM32>\net.exe stop spooler
- <SYSTEM32>\cmd.exe /c "%CommonProgramFiles%\System\killwx.bat"
- %WINDIR%\sleep.exe 100
- <SYSTEM32>\sc.exe config winmgmt start= auto
- <SYSTEM32>\cmd.exe /c <Текущая директория>\dellme.bat
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\dellme.bat
- %CommonProgramFiles%\System\killwx.bat
- %CommonProgramFiles%\System\spoolsv.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %CommonProgramFiles%\System\spoolsv.exe
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'ieLock'
- ClassName: '' WindowName: '6/2/2011 2:18:49 PM'
