Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{C18CB140-0BBB-11D4-8FE8-0088CC102438}] 'Exec' = 'http://ie.256.cc/youxi.html'
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{C18CB140-0BBB-11D4-8FE8-0088CC102437}] 'Exec' = 'http://ie.256.cc/taobao.html'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\winset.exe
Запускает на исполнение:
- <SYSTEM32>\schtasks.exe /Delete /TN * /F
- <SYSTEM32>\ping.exe 127.0.0.1 -n 3
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Favorites\XP系统下载,GhostXPsp3系统下载,最新windows7系统_系统之家.url
- %HOMEPATH%\Favorites\256安全网址导航.url
- %HOMEPATH%\Favorites\淘宝网.url
- %HOMEPATH%\Favorites\顶牛购物.url
- %TEMP%\winset.exe
- %TEMP%\aut1.tmp
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
- C:\RECYCLER\S-1-5-21-2052111302-484763869-725345543-1003\desktop.ini
Удаляет следующие файлы:
- %TEMP%\aut1.tmp
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
