Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'System' = '%CommonProgramFiles%\System\Updaterun.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Live] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\8NASCAR] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\bar.exe
- <SYSTEM32>\rundll2000.exe <SYSTEM32>\WBEM\SCPTV.DLL,Export 1087 "<SYSTEM32>\wbem\scptv.dll",Export @start "<SYSTEM32>\wbem\scptv.dll",Export @install
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe "<SYSTEM32>\unxpk.dll",ExportFunc 1001
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\bar.exe
- %HOMEPATH%\Favorites\¶аМШИнјюХѕ-Чо°ІИ«·ЕРДµДИнјюХѕ.url
- <SYSTEM32>\Score.txt
- %PROGRAM_FILES%\superutilbar\uninst.exe
- %PROGRAM_FILES%\superutilbar\superutilbar.dll
- %TEMP%\nsf2.tmp
- <SYSTEM32>\wbem\ocmor.dll
- <SYSTEM32>\rundll2000.exe
- %CommonProgramFiles%\System\Updaterun.exe
- <SYSTEM32>\unxpk.dll
- <SYSTEM32>\advport.dll
- <SYSTEM32>\wbem\scptv.dll
Удаляет следующие файлы:
- %WINDIR%\bar.exe
