Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'ShutDownWindows' = 'Rundll32.exe User,ExitWindows'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя вируса>' = '<Полный путь к вирусу>'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'DisableKeybaord' = 'Rundll32.exe Keyboard,Disable'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'DisableMouse' = 'Rundll32.exe Mouse,Disable'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\taskkill.exe /F /IM cfind*
- <SYSTEM32>\taskkill.exe /F /IM cfinet*
- <SYSTEM32>\taskkill.exe /F /IM claw95*
- <SYSTEM32>\taskkill.exe /F /IM ccshtdwn*
- <SYSTEM32>\taskkill.exe /F /IM cfiadmin*
- <SYSTEM32>\taskkill.exe /F /IM cfiaudit*
- <SYSTEM32>\taskkill.exe /F /IM esafe*
- <SYSTEM32>\taskkill.exe /F /IM espwatch*
- <SYSTEM32>\taskkill.exe /F /IM f-agnt95*
- <SYSTEM32>\taskkill.exe /F /IM dv95*
- <SYSTEM32>\taskkill.exe /F /IM ecengine*
- <SYSTEM32>\taskkill.exe /F /IM efinet32*
- <SYSTEM32>\taskkill.exe /F /IM avnt*
- <SYSTEM32>\taskkill.exe /F /IM avp*
- <SYSTEM32>\taskkill.exe /F /IM avsched32*
- <SYSTEM32>\taskkill.exe /F /IM avgctrl*
- <SYSTEM32>\taskkill.exe /F /IM avgw*
- <SYSTEM32>\taskkill.exe /F /IM avkserv*
- <SYSTEM32>\taskkill.exe /F /IM blackice*
- <SYSTEM32>\taskkill.exe /F /IM bootwarn*
- <SYSTEM32>\taskkill.exe /F /IM ccapp*
- <SYSTEM32>\taskkill.exe /F /IM avwin95*
- <SYSTEM32>\taskkill.exe /F /IM avwupd32*
- <SYSTEM32>\taskkill.exe /F /IM blackd*
- <SYSTEM32>\taskkill.exe /F /IM icmon*
- <SYSTEM32>\taskkill.exe /F /IM icmoon*
- <SYSTEM32>\taskkill.exe /F /IM icssuppnt*
- <SYSTEM32>\taskkill.exe /F /IM ibmavsp*
- <SYSTEM32>\taskkill.exe /F /IM icload95*
- <SYSTEM32>\taskkill.exe /F /IM icloadnt*
- <SYSTEM32>\taskkill.exe /F /IM jedi*
- <SYSTEM32>\taskkill.exe /F /IM kpfw32*
- <SYSTEM32>\taskkill.exe /F /IM lockdown2000*
- <SYSTEM32>\taskkill.exe /F /IM icsupp*
- <SYSTEM32>\taskkill.exe /F /IM iface*
- <SYSTEM32>\taskkill.exe /F /IM iomon98*
- <SYSTEM32>\taskkill.exe /F /IM fprot95*
- <SYSTEM32>\taskkill.exe /F /IM f-prot95*
- <SYSTEM32>\taskkill.exe /F /IM fp-win*
- <SYSTEM32>\taskkill.exe /F /IM findviru*
- <SYSTEM32>\taskkill.exe /F /IM fprot*
- <SYSTEM32>\taskkill.exe /F /IM f-prot*
- <SYSTEM32>\taskkill.exe /F /IM iamapp*
- <SYSTEM32>\taskkill.exe /F /IM iamserv*
- <SYSTEM32>\taskkill.exe /F /IM ibmasn*
- <SYSTEM32>\taskkill.exe /F /IM frw*
- <SYSTEM32>\taskkill.exe /F /IM f-stopw*
- <SYSTEM32>\taskkill.exe /F /IM gibe*
- <SYSTEM32>\taskkill.exe /F /IM avgcc32*
- <SYSTEM32>\taskkill.exe /F /IM avxgui.exe
- <SYSTEM32>\taskkill.exe /F /IM avxlive.exe
- <SYSTEM32>\taskkill.exe /F /IM lmgui.exe
- <SYSTEM32>\taskkill.exe /F /IM blackice.exe
- <SYSTEM32>\taskkill.exe /F /IM blackd.exe
- <SYSTEM32>\taskkill.exe /F /IM xcommsrv.exe
- <SYSTEM32>\taskkill.exe /F /IM UPDATE.EXE
- <SYSTEM32>\taskkill.exe /F /IM NUPGRADE.EXE
- <SYSTEM32>\taskkill.exe /F /IM MCUPDATE.EXE
- <SYSTEM32>\taskkill.exe /F /IM Iface.exe
- <SYSTEM32>\taskkill.exe /F /IM Pavsrv*.exe
- <SYSTEM32>\taskkill.exe /F /IM Avengine.exe
- <SYSTEM32>\taskkill.exe /F /IM zonealarm.exe
- <SYSTEM32>\taskkill.exe /F /IM PNTIOMON.exe
- <SYSTEM32>\taskkill.exe /F /IM pccntupd.exe
- <SYSTEM32>\cmd.exe /c \tmp_d.bat
- <SYSTEM32>\shutdown.exe -R -t 50 -c NBA.Worm -f
- <SYSTEM32>\taskkill.exe /F /IM vsmon.exe
- <SYSTEM32>\taskkill.exe /F /IM avpcc.exe
- <SYSTEM32>\taskkill.exe /F /IM AvpM.exe
- <SYSTEM32>\taskkill.exe /F /IM RapApp.exe
- <SYSTEM32>\taskkill.exe /F /IM WebTrap*.exe
- <SYSTEM32>\taskkill.exe /F /IM Pop3trap.exe
- <SYSTEM32>\taskkill.exe /F /IM MWSOEMON.exe
- <SYSTEM32>\taskkill.exe /F /IM nod32kui.exe
- <SYSTEM32>\taskkill.exe /F /IM _avp*
- <SYSTEM32>\taskkill.exe /F /IM ackwin32*
- <SYSTEM32>\taskkill.exe /F /IM AUPDATE.EXE
- <SYSTEM32>\taskkill.exe /F /IM ATUPDATER.EXE
- <SYSTEM32>\taskkill.exe /F /IM nod32krn.exe
- <SYSTEM32>\taskkill.exe /F /IM autodown*
- <SYSTEM32>\taskkill.exe /F /IM avconsol*
- <SYSTEM32>\taskkill.exe /F /IM ave32*
- <SYSTEM32>\taskkill.exe /F /IM anti-trojan*
- <SYSTEM32>\taskkill.exe /F /IM aplica32*
- <SYSTEM32>\taskkill.exe /F /IM apvxdwin*
- <SYSTEM32>\taskkill.exe /F /IM DRWEBUPW.EXE
- <SYSTEM32>\taskkill.exe /F /IM CFIAUDIT.EXE
- <SYSTEM32>\taskkill.exe /F /IM AVXQUAR.EXE
- <SYSTEM32>\taskkill.exe /F /IM LUALL.EXE
- <SYSTEM32>\taskkill.exe /F /IM ICSUPP95.EXE
- <SYSTEM32>\taskkill.exe /F /IM ICSSUPPNT.EXE
- <SYSTEM32>\taskkill.exe /F /IM AUTOUPDATE.EXE
- <SYSTEM32>\taskkill.exe /F /IM AUTOTRACE.EXE
- <SYSTEM32>\taskkill.exe /F /IM AUTODOWN.EXE
- <SYSTEM32>\taskkill.exe /F /IM AVWUPD32.EXE
- <SYSTEM32>\taskkill.exe /F /IM AVPUPD.EXE
- <SYSTEM32>\taskkill.exe /F /IM AVLTMAIN.EXE
Завершает или пытается завершить
следующие пользовательские процессы:
- AVP.COM
- AVGCTRL.EXE
- AVP.EXE
- ccapp.exe
- AVP32.EXE
- AVPCC.EXE
- ZONEALARM.EXE
- AVPM.EXE
- AVGCC32.EXE
- Drwebupw.exe
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoInternetIcon' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '1'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoDrives' = '03FFFFFF'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoRun' = '1'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoClose' = '1'
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Internet Explorer\Main] 'Window Title' = 'N B A'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\NBA.html
- C:\HEY LUSER READ THIS - NOW.txt
- C:\tmp_d.bat
- <SYSTEM32>\Formats.Exe
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
