Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'msconfig' = '%WINDIR%\Prefetch\msconfig.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Remote Access] 'Start' = '00000002'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\msvcr71.dll
- <SYSTEM32>\msvcp71.dll
Заражает следующие исполняемые файлы:
- <SYSTEM32>\msvcr71.dll
- <SYSTEM32>\msvcp71.dll
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\runassrv.exe' add /cmdline:"<SYSTEM32>\wupdmg.exe" /name:"Remote Access" /desc:"存储本地用户帐户的安全信息。"
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 1
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wupdmg.exe
- %TEMP%\aut4.tmp
- %WINDIR%\Prefetch\msconfig.exe
- %TEMP%\aut5.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- <SYSTEM32>\runassrv.exe
- %TEMP%\aut3.tmp
Удаляет следующие файлы:
- %TEMP%\aut4.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
Самоудаляется.
