Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,regedit32.com'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\startup.bat
Заражает следующие исполняемые системные файлы:
- <SYSTEM32>\notepad.exe
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\notepad.exe файлом <SYSTEM32>\dllcache\notepad.exe.new
- <SYSTEM32>\notepad.exe файлом <SYSTEM32>\notepad.exe.new
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
Создает и запускает на исполнение:
- %WINDIR%\Temp\svchost.exe
- %WINDIR%\Web\svchost.exe
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\startup.bat
Принудительно разрешает автозапуск со съемных носителей.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\msconfig.exe
- <SYSTEM32>\regedit.exe
- <SYSTEM32>\dllcache\notepad.exe.new
- <SYSTEM32>\notepad.exe.new
- %WINDIR%\Web\svchost.exe
- %WINDIR%\Temp\svchost.exe
- <SYSTEM32>\regedit32.com
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\msconfig.exe
- <SYSTEM32>\regedit.exe
Удаляет следующие файлы:
- %TEMP%\~DF4210.tmp
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
