Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe c:\Musics.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Musics' = 'c:\Musics.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Mntenance' = '<SYSTEM32>\Mntenance.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\Honey.exe
- <Имя диска съемного носителя>:\Hot Pictures.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im msconfig.exe /t
- '<SYSTEM32>\taskkill.exe' /pid=3156
- '<SYSTEM32>\taskkill.exe' /f /im taskmgr.exe /t
- '<SYSTEM32>\taskkill.exe' /f /im regedit.exe /t
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\taskkill.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Internet Explorer\Main] 'Window Title' = 'h0N3y I m155 U!!!!!'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Program Files.exe
- <Служебный элемент>
- C:\Far2\Far2.exe
- C:\RECYCLER\RECYCLER.exe
- C:\Honey.exe
- C:\Hot Pictures.exe
- %WINDIR%\WINDOWS.exe
- <SYSTEM32>\Mntenance.exe
- C:\Musics.exe
- %HOMEPATH%\My Documents\My h0N3y.exe
- C:\h0N3y.htm
- C:\Documents and Settings\Documents and Settings.exe
- <Текущая директория>\bf32d3b0.exe
- <SYSTEM32>\oeminfo.ini
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
