Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 ""%TEMP%\IXP000.TMP\""'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\f.job
- %WINDIR%\Tasks\SA.DAT
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Schedule] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\schtasks.exe /create /tn "f" /sc minute /mo 60 /ru "NT AUTHORITY\SYSTEM" /tr %WINDIR%/ff.bat
- <SYSTEM32>\sc.exe stop SharedAccess
- <SYSTEM32>\sc.exe stop wscsvc
- <SYSTEM32>\msiexec.exe /V
- <SYSTEM32>\msiexec.exe /i vcredist.msi
- <SYSTEM32>\attrib.exe +h %WINDIR%/tasks/*.*
- <SYSTEM32>\sc.exe config schedule start= auto
- <SYSTEM32>\chcp.com 1251
- <SYSTEM32>\cmd.exe /c ""%TEMP%\2.tmp\setup.bat" "
- <SYSTEM32>\sc.exe config SharedAccess start= disabled
- <SYSTEM32>\sc.exe config wscsvc start= disabled
- <SYSTEM32>\sc.exe start schedule
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\IXP000.TMP\vcredist.msi
- %WINDIR%\ff.bat
- %TEMP%\27d15.msi
- %TEMP%\IXP000.TMP\vcredis1.cab
- %TEMP%\vcredist_x86.exe
- %TEMP%\setup.exe
- %WINDIR%\system.bin
- %TEMP%\2.tmp\setup.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\Tasks\f.job
Удаляет следующие файлы:
- %TEMP%\2.tmp\setup.bat
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
