Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Adobe ARM' = '%PROGRAM_FILES%\Adobe\Reader 9.0\reader_sl.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\wrar400tc.exe'
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\vbc1.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /noconfig @"%TEMP%\yqsve507.cmdline"
Завершает или пытается завершить
следующие пользовательские процессы:
- ntvdm.exe
- 360tray.exe
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Adobe\Reader 9.0\reader_sl.exe
- %TEMP%\yqsve507.dll
- %TEMP%\wrar400tc.exe
- %APPDATA%\Microsoft\Windows\IETldCache\Low\Q1JOSkVVRlVqdWRjUVFyek1vSW5MZHBkYlZua0hxQ0hFUGdoREVObFN2THJ4UlpQdXBxb3RlWGVKaw==
- %TEMP%\RES2.tmp
- %TEMP%\yqsve507.cmdline
- %TEMP%\yqsve507.0.vb
- %TEMP%\vbc1.tmp
- %TEMP%\yqsve507.out
Удаляет следующие файлы:
- %TEMP%\yqsve507.out
- %TEMP%\yqsve507.0.vb
- %TEMP%\yqsve507.cmdline
- %TEMP%\RES2.tmp
- %TEMP%\vbc1.tmp
- %TEMP%\yqsve507.dll
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
