Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Windows Live Messenger.lnk
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /f /v Homepage /t reg_dword /d 1
- <SYSTEM32>\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden" /f /v type /t reg_sz /d "-"
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /f /v Hidden /t reg_dword /d 0
- <SYSTEM32>\notepad.exe
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Internet Explorer\TabbedBrowsing" /f /v NewTabPageShow /t reg_dword /d 0
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Internet Explorer\Main" /f /v "Search Page" /t reg_sz /d www.go###e.com.tr
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Другое:
Ищет следующие окна:
- ClassName: 'Notepad' WindowName: 'DisableRegistryTools'
- ClassName: 'Notepad' WindowName: 'Ads?z - Not Defteri'
