Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{AEE71792-E47F-F626-DF0B-FDAEFB7D0E7F}' = '%ALLUSERSPROFILE%\application data\{32F73FA2-CC4F-6A36-DF0B-FDAEFB7D0E7F}\9f48ef3d.exe'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\{AEE71792-E47F-F626-DF0B-FDAEFB7D0E7F}.job
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\{465efbae-ba8c-483b-314e-aaaf24ffa11e}\38ba0056-1a5b-7248-7888-a72ae3a1a3eb.exe
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\{32F73FA2-CC4F-6A36-DF0B-FDAEFB7D0E7F}\9f48ef3d.exe
Удаляет следующие файлы:
- <Имя диска съемного носителя>:\{465efbae-ba8c-483b-314e-aaaf24ffa11e}\38ba0056-1a5b-7248-7888-a72ae3a1a3eb.exe
Подменяет следующие файлы:
- <Имя диска съемного носителя>:\{465efbae-ba8c-483b-314e-aaaf24ffa11e}\38ba0056-1a5b-7248-7888-a72ae3a1a3eb.exe
Самоудаляется.
