Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] '{081FE200-A103-11D7-A46D-C770E4459F2F}' = 'hookmir'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\EXPL0RER.EXE
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c <Текущая директория>\$$336699.bat
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\SysModule64.DLL
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: <SYSTEM32>\SysModule32.DLL
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\SysModule64.DLL
- <SYSTEM32>\EXPL0RER.EXEabc
- <Текущая директория>\$$336699.bat
- <SYSTEM32>\SysModule32.DLL
- <Полный путь к вирусу>abc
- <SYSTEM32>\EXPL0RER.EXE
- %WINDIR%\MFCD3O.DLL
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\SysModule32.DLL
- <SYSTEM32>\SysModule64.DLL
- <SYSTEM32>\EXPL0RER.EXE
- %WINDIR%\MFCD3O.DLL
Удаляет следующие файлы:
- <SYSTEM32>\EXPL0RER.EXEabc
- <Полный путь к вирусу>abc
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'T.A.x.20031228' WindowName: 'm.i.r.H00K.20031228'
- ClassName: '' WindowName: 'm.i.r.H00K.20031228'
