Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Runonce' = '<SYSTEM32>\runouce.exe'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ctfmon.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: '' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: '' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\FireFox\chrome\toolkit\content\global\readme.eml
- %PROGRAM_FILES%\FireFox\chrome\browser\content\browser\safebrowsing\readme.eml
- %PROGRAM_FILES%\FireFox\chrome\browser\content\browser\feeds\readme.eml
- %PROGRAM_FILES%\FireFox\defaults\profile\readme.eml
- %PROGRAM_FILES%\FireFox\chrome\toolkit\res\readme.eml
- %PROGRAM_FILES%\FireFox\chrome\toolkit\content\global\cpow\readme.eml
- %CommonProgramFiles%\Microsoft Shared\Stationery\readme.eml
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\readme.eml
- <SYSTEM32>\runouce.exe
- %PROGRAM_FILES%\FireFox\chrome\browser\content\browser\certerror\readme.eml
- %PROGRAM_FILES%\FireFox\chrome\browser\content\browser\readme.eml
- %CommonProgramFiles%\System\ado\readme.eml
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\runouce.exe
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: '' WindowName: 'The Wireshark Network Analyzer'
