Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Control Panel\Desktop] 'SCRNSAVE.EXE' = '%APPDATA%\Microsoft\Windows\dashrain.scr'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '<Имя вируса>' = '<Полный путь к вирусу>'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\attrib.exe -R -H -S "<SYSTEM32>\wifihi.exe"
- <SYSTEM32>\reg.exe ADD "HKCU\Control Panel\Desktop" /v ScreenSaveTimeOut /t REG_SZ /d "60" /f
- <SYSTEM32>\attrib.exe -R -H -S "%APPDATA%\disksecure"
- <SYSTEM32>\attrib.exe +R +H +S "<SYSTEM32>\wifihi.exe"
- <SYSTEM32>\reg.exe ADD "HKCU\Control Panel\Desktop" /v ScreenSaveActive /t REG_SZ /d "1" /f
- <SYSTEM32>\attrib.exe -R -H -S "%APPDATA%\Microsoft\Windows\dashrain.scr"
- <SYSTEM32>\attrib.exe -R -H -S "%APPDATA%\disksecure\disksecure.exe"
- <SYSTEM32>\reg.exe ADD "HKCU\Control Panel\Desktop" /v "SCRNSAVE.EXE" /t REG_SZ /d "%APPDATA%\Microsoft\Windows\dashrain.scr" /f
- <SYSTEM32>\attrib.exe +R +H +S "%APPDATA%\Microsoft\Windows\dashrain.scr"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wifihi.exe
- %APPDATA%\Microsoft\Windows\dashrain.scr
- %APPDATA%\disksecure\disksecure.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\wifihi.exe
- %APPDATA%\Microsoft\Windows\dashrain.scr
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
