Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\irc\Shell\open\command] '' = '"%PROGRAM_FILES%\quzelarama\quzelarama\sbt.exe" -noconnect'
- [<HKLM>\SOFTWARE\Classes\ChatFile\Shell\open\command] '' = '"%PROGRAM_FILES%\quzelarama\quzelarama\sbt.exe" -noconnect'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\quzelarama\quzelarama\sbt.exe
Запускает на исполнение:
- %WINDIR%\msagent\agentsvr.exe -Embedding
- %WINDIR%\regedit.exe /S Asi_Mavi.php
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\quzelarama\quzelarama\popups.ini
- %PROGRAM_FILES%\quzelarama\quzelarama\remote3.ttf
- %PROGRAM_FILES%\quzelarama\quzelarama\Asi_Mavi2.jpg
- %PROGRAM_FILES%\quzelarama\quzelarama\mirc.ini
- %HOMEPATH%\Desktop\Turkce Muhabbet.lnk
- %PROGRAM_FILES%\quzelarama\quzelarama\Uninstall.ini
- %PROGRAM_FILES%\quzelarama\quzelarama\sbt.exe
- %PROGRAM_FILES%\quzelarama\quzelarama\Uninstall.exe
- %PROGRAM_FILES%\quzelarama\quzelarama\Asi_Mavi1.jpg
- %PROGRAM_FILES%\quzelarama\quzelarama\servers.ini
- %PROGRAM_FILES%\quzelarama\quzelarama\scripts\remote.ini
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %PROGRAM_FILES%\quzelarama\quzelarama\scripts\script3.ini
- %PROGRAM_FILES%\quzelarama\quzelarama\Asi_Mavi.php
- %PROGRAM_FILES%\quzelarama\quzelarama\scripts\script1.ini
- %PROGRAM_FILES%\quzelarama\quzelarama\scripts\script2.ini
Удаляет следующие файлы:
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Другое:
Ищет следующие окна:
- ClassName: '..::32' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '..::' WindowName: ''
