Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.55##.net" /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\copy.bat" "
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\Favorites\百度.url
- %TEMP%\RarSFX0\Favorites\绍兴信息港.url
- %TEMP%\RarSFX0\Favorites\嵊州信息港.url
- %TEMP%\RarSFX0\Favorites\三味影院.url
- %TEMP%\RarSFX0\Favorites\世纪音乐网.url
- <SYSTEM32>\oeminfo.ini
- %HOMEPATH%\╫└├ц
- <SYSTEM32>\OemLogo.bmp
- %TEMP%\RarSFX0\copy.bat
- %WINDIR%\yjhy.ico
- %TEMP%\RarSFX0\desktop\yjhy.ico
- %TEMP%\RarSFX0\desktop\一键清除系统垃圾.EXE
- %TEMP%\RarSFX0\desktop\netcfg.hlp
- %TEMP%\RarSFX0\desktop\Microsoft Office Excel 2003.lnk
- %TEMP%\RarSFX0\desktop\Microsoft Office Word 2003.lnk
- %TEMP%\RarSFX0\desktop\OemLogo.bmp
- %TEMP%\RarSFX0\Favorites\Google.url
- %TEMP%\RarSFX0\desktop\hosts
- %TEMP%\RarSFX0\desktop\oeminfo.ini
- %TEMP%\RarSFX0\desktop\嵊州同城游戏105记牌器.exe
Удаляет следующие файлы:
- %TEMP%\RarSFX0\desktop\netcfg.hlp
- %TEMP%\RarSFX0\desktop\oeminfo.ini
- %TEMP%\RarSFX0\desktop\Microsoft Office Excel 2003.lnk
- %TEMP%\RarSFX0\desktop\Microsoft Office Word 2003.lnk
- %TEMP%\RarSFX0\desktop\一键清除系统垃圾.EXE
- %TEMP%\RarSFX0\desktop\嵊州同城游戏105记牌器.exe
- %TEMP%\RarSFX0\desktop\OemLogo.bmp
- %TEMP%\RarSFX0\desktop\yjhy.ico
- %TEMP%\RarSFX0\Favorites\三味影院.url
- %TEMP%\RarSFX0\Favorites\世纪音乐网.url
- %TEMP%\RarSFX0\copy.bat
- %TEMP%\RarSFX0\Favorites\Google.url
- %TEMP%\RarSFX0\Favorites\绍兴信息港.url
- %TEMP%\RarSFX0\desktop\hosts
- %TEMP%\RarSFX0\Favorites\嵊州信息港.url
- %TEMP%\RarSFX0\Favorites\百度.url
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
