Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'SSR Start' = '%WINDIR%\MIICRH\SSR.exe'
Вредоносные функции
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %WINDIR%\MIICRH\SSR.01
оконных сообщений:
- Библиотека-обработчик для всех процессов: %WINDIR%\MIICRH\SSR.02
- Библиотека-обработчик для всех процессов: %WINDIR%\MIICRH\SSR.01
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\miicrh\ssr.exe
- %WINDIR%\miicrh\ssr.00
- %WINDIR%\miicrh\ssr.01
- %WINDIR%\miicrh\ssr.02
- <Текущая директория>\1.vbs
- %PROGRAMDATA%\cwk\ssr.004
Другое
Ищет следующие окна
- ClassName: '' WindowName: '29379'
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: 'IEFrame' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\miicrh\ssr.exe'
- '<SYSTEM32>\wscript.exe' "<Текущая директория>\1.vbs"
- '%WINDIR%\miicrh\ssr.exe' ' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "<Текущая директория>\1.vbs"' (со скрытым окном)
