Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WmdmPmSN] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
Запускает на исполнение:
- <SYSTEM32>\reg.exe add HKLM\SYSTEM\CurrentControlSet\Services\wmdmpmsn\Parameters /v servicedll /t REG_EXPAND_SZ /d %CommonProgramFiles%\Microsoft Shared\secur16.dll /f
- <SYSTEM32>\reg.exe add HKCU\Software\microsoft\windows\currentVersion\explorer\advanced /v HideFileExt /t REG_DWORD /d 1 /f
- <SYSTEM32>\systeminfo.exe
- <SYSTEM32>\ipconfig.exe /all
- <SYSTEM32>\reg.exe add HKLM\SOFTWARE\Microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall /v Checkedvalue /t REG_DWORD /d 0 /f
- %WINDIR%\explorer.exe <Текущая директория>\<Имя вируса>\
- <SYSTEM32>\reg.exe add HKCU\Software\microsoft\windows\currentVersion\explorer\advanced /v Hidden /t REG_DWORD /d 0 /f
- <SYSTEM32>\reg.exe add HKEY_CLASSES_ROOT\exefile /v NeverShowExt /t REG_EXPAND_SZ /d 0 /f
Изменения в файловой системе:
Создает следующие файлы:
- C:\RECYCLER\S-1-5-21-1645522239-583907252-725345553-1009\20110929Dir.doc
- C:\RECYCLER\S-1-5-21-1645522239-583907252-725345553-1009\Systeminfo_USER-4BB09A9C02.doc
- %WINDIR%\~bandu.tmp
- <SYSTEM32>\usbprotect.exe
- %CommonProgramFiles%\Microsoft Shared\secur16.dll
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
