Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'slwc' = '<SYSTEM32>\slwc.exe'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\cacls.exe "<SYSTEM32>\charmap.exe" /E /G "%USERNAME%":F
- <SYSTEM32>\cacls.exe "<SYSTEM32>\calc.exe" /E /G "%USERNAME%":F
- <SYSTEM32>\cacls.exe "<SYSTEM32>\browseui.dll" /E /G "%USERNAME%":F
- <SYSTEM32>\cacls.exe "<SYSTEM32>\cmd.exe" /E /G "%USERNAME%":F
- <SYSTEM32>\cacls.exe "%WINDIR%\explorer.exe" /E /G "%USERNAME%":F
- <SYSTEM32>\cacls.exe "<SYSTEM32>\Defrag.exe" /E /G "%USERNAME%":F
- <SYSTEM32>\cacls.exe "<SYSTEM32>\control.exe" /E /G "%USERNAME%":F
- <SYSTEM32>\taskkill.exe /F /IM "WinList.exe"
- <SYSTEM32>\taskkill.exe /F /IM "UBERIC~1.EXE"
- <SYSTEM32>\taskkill.exe /F /IM "ROCKET~1.EXE"
- <SYSTEM32>\taskkill.exe /F /IM "VIRTUA~1.EXE"
- <SYSTEM32>\cacls.exe "<SYSTEM32>\batmeter.dll" /E /G "%USERNAME%":F
- <SYSTEM32>\taskkill.exe /F /IM "explorer.exe"
- <SYSTEM32>\taskkill.exe /F /IM "YzShadow.exe"
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\SLTrans\~GLH0000.TMP
- <SYSTEM32>\SLTrans\~GLH0001.TMP
- %TEMP%\GLC1.tmp
- %TEMP%\GLW2.tmp
Удаляет следующие файлы:
- <SYSTEM32>\SLTrans\sl.sif
- %TEMP%\GLW2.tmp
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
