Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Paint.lnk
Заражает следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\regedit.exe.new
- <SYSTEM32>\dllcache\notepad.exe.new
- <SYSTEM32>\dllcache\hh.exe.new
Подменяет следующие исполняемые системные файлы:
- %WINDIR%\TASKMAN.EXE файлом %WINDIR%\TASKMAN.EXE
- %WINDIR%\sleep.exe файлом %WINDIR%\sleep.exe
- %WINDIR%\twunk_32.exe файлом %WINDIR%\twunk_32.exe
- %WINDIR%\TASKMAN.EXE файлом %WINDIR%\taskman.exe.new
- %WINDIR%\NOTEPAD.EXE файлом %WINDIR%\NOTEPAD.EXE
- %WINDIR%\hh.exe файлом %WINDIR%\hh.exe
- %WINDIR%\sfk.exe файлом %WINDIR%\sfk.exe
- %WINDIR%\regedit.exe файлом %WINDIR%\regedit.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\dllcache\notepad.exe.new
- <SYSTEM32>\dllcache\regedit.exe.new
- <SYSTEM32>\dllcache\hh.exe.new
- %WINDIR%\notepad.exe.new
- %WINDIR%\regedit.exe.new
- %WINDIR%\vtwunk_16.ico
- %WINDIR%\vtwunk_32.ico
- %WINDIR%\RCX7.tmp
- %WINDIR%\twunk_16.exe.new
- %WINDIR%\RCX6.tmp
- %WINDIR%\taskman.exe.new
- %WINDIR%\hh.exe.new
- C:\Far2\RCX1.tmp
- <Служебный элемент>
- C:\Far2\vFar.ico
- %APPDATA%\Paint.exe
- C:\Far2\Far.exe
- %WINDIR%\vhh.ico
- %WINDIR%\vregedit.ico
- %WINDIR%\RCX5.tmp
- %WINDIR%\RCX4.tmp
- %WINDIR%\RCX3.tmp
- %WINDIR%\vNOTEPAD.ico
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Paint.exe
Удаляет следующие файлы:
- %WINDIR%\vNOTEPAD.ico
- %WINDIR%\vregedit.ico
- %WINDIR%\vtwunk_16.ico
- %WINDIR%\vhh.ico
- C:\Far2\Far.exe
- C:\Far2\vFar.ico
- <Служебный элемент>
Перемещает следующие системные файлы:
- %WINDIR%\TASKMAN.EXE в %WINDIR%\vTASKMAN.EXE
- %WINDIR%\sleep.exe в %WINDIR%\vsleep.exe
- %WINDIR%\twunk_32.exe в %WINDIR%\vtwunk_32.exe
- %WINDIR%\twunk_16.exe в %WINDIR%\vtwunk_16.exe
- %WINDIR%\NOTEPAD.EXE в %WINDIR%\vNOTEPAD.EXE
- %WINDIR%\hh.exe в %WINDIR%\vhh.exe
- %WINDIR%\sfk.exe в %WINDIR%\vsfk.exe
- %WINDIR%\regedit.exe в %WINDIR%\vregedit.exe
