Техническая информация
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ntvdm.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\MODULY\C-I-PU.EXE
- %TEMP%\RarSFX0\MODULY\C-I-POKL.EXE
- %TEMP%\RarSFX0\MODULY\C-I-KOM.EXE
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
- %TEMP%\RarSFX0\MODULY\C-I-TISK.EXE
- %TEMP%\RarSFX0\MODULY\C-I-EET.EXE
- %TEMP%\RarSFX0\INSTALL.PIF
- %TEMP%\RarSFX0\INSTALL.EXE
- %TEMP%\RarSFX0\CEZ_WIN.EXE
- %TEMP%\RarSFX0\MODULY\C-I-CEZ.EXE
- %TEMP%\RarSFX0\MODULY\C-I-AUTO.EXE
- %TEMP%\RarSFX0\MODULY\C-I#VS.EXE
Удаляет следующие файлы:
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
Другое:
Ищет следующие окна:
- ClassName: 'NetIDclass' WindowName: 'net_id'
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b64.b68.380001'
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\CEZ_WIN.EXE' I 1
Запускает на исполнение:
- '<SYSTEM32>\ntvdm.exe' -f -i1
