Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'OAOUIµI?µCA?µAIA???¬E??yµoI?·?Oy??µCA?IµI???' = '%APPDATA%\svchost.exe'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\qq.exe
- %HOMEPATH%\Start Menu\Programs\Startup\cmd.vbs
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\qq.vbs
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\regini.exe %TEMP%\921802.ini
- <SYSTEM32>\reg.exe delete "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell" /f
- <SYSTEM32>\regini.exe %TEMP%\921802_s.ini
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoInternetIcon' = '00000000'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\svchost.exe
- %TEMP%\921802.ini
- %TEMP%\921802_s.ini
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\Start Menu\Programs\Startup\cmd.vbs
- %APPDATA%\svchost.exe
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\qq.exe
- %TEMP%\921802_s.ini
- %TEMP%\921802.ini
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\qq.vbs
Удаляет следующие файлы:
- %TEMP%\921802.ini
- %TEMP%\921802_s.ini
