Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\BITS] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\wuauserv] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- %WINDIR%\regedit.exe /s C:\autoupdate.reg
- %WINDIR%\regedit.exe /e C:\temfile.tem HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- <SYSTEM32>\net.exe stop bits
- <SYSTEM32>\net1.exe stop bits
- <SYSTEM32>\net1.exe start bits
- <SYSTEM32>\net1.exe start wuauserv
- <SYSTEM32>\find.exe "wuauserv" C:\temfile.tem
- %WINDIR%\regedit.exe /s C:\AutoStart.reg
- <SYSTEM32>\net1.exe stop wuauserv
- <SYSTEM32>\find.exe "2000"
- <SYSTEM32>\find.exe "Microsoft Windows [░ц▒╛ 5"
- <SYSTEM32>\chcp.com
- <SYSTEM32>\find.exe "936"
- <SYSTEM32>\net1.exe user "%USERNAME%"
- <SYSTEM32>\net.exe stop wuauserv
- <SYSTEM32>\find.exe "XP"
- <SYSTEM32>\find.exe "*%USERNAME%s"
Изменения в файловой системе:
Создает следующие файлы:
- C:\temfile.tem
- C:\AutoStart.reg
- %TEMP%\bt8647.bat
- C:\autoupdate.reg
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\bt8647.bat
Удаляет следующие файлы:
- C:\AutoStart.reg
- C:\temfile.tem
- C:\autoupdate.reg
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
