Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\Software\Classes\CLSID\{98745625-1234-1234-1234-1234567890AB}\Shell\Open\Command] '' = '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://123.sogou.com/?71029-7631'
- [<HKLM>\SOFTWARE\Classes\CLSID\{98745625-1234-1234-1234-1234567890AB}\Shell\Open\Command] '' = '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://123.sogou.com/?71029-7631'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "<Текущая директория>\oywtj.vbs"
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoInternetIcon' = '00000001'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\oywtj.vbs
- %WINDIR%\Log.log
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\oywtj.vbs
- %WINDIR%\Log.log
Удаляет следующие файлы:
- <Текущая директория>\oywtj.vbs
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'WTWindow' WindowName: '????????????'
