Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'GrpConv' = 'grpconv -o'
- [<HKLM>\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command] '' = '<SYSTEM32>\grpconv.exe %1'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /t /im "idman.exe"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\IDM.inf
- %TEMP%\RarSFX0\IDM.cab
- %TEMP%\RarSFX0\PATCH.CMD
- %TEMP%\RarSFX0\Patch.exe
- %TEMP%\RarSFX0\Profile.exe
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' setupapi,InstallHinfSection DefaultInstall 132 %TEMP%\RarSFX0\IDM.inf
- '<SYSTEM32>\rundll32.exe' advpack.dll,LaunchINFSection %TEMP%\RarSFX0\IDM.inf,Install
- '<SYSTEM32>\cmd.exe' /Q /C taskkill /f /t /im "idman.exe"
- '<SYSTEM32>\regsvr32.exe' /u /S %ProgramFiles%\Internet Download Manager\downlWithIDM.dll
- '<SYSTEM32>\runonce.exe' -r
- '<SYSTEM32>\grpconv.exe' -o
- '<SYSTEM32>\regsvr32.exe' /u /S %ProgramFiles%\Internet Download Manager\idmfsa.dll
