Техническая информация
Для обеспечения автозапуска и распространения:
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\d3d8thk.dll файлом <SYSTEM32>\d3d8thk.dll.rzxcp
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\sc.exe delete cryptsvc
- <SYSTEM32>\cmd.exe /c ""%TEMP%\delself.bat" "
- <SYSTEM32>\sc.exe stop cryptsvc
- <SYSTEM32>\sc.exe config cryptsvc start= disabled
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %TEMP%\TMl1.tmp
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\delself.bat
- <SYSTEM32>\d3d8thk.dll.rzxcp
- %TEMP%\TMl1.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\TMl1.tmp
Удаляет следующие файлы:
- <SYSTEM32>\d3d8thk.dll.bzxck
Перемещает следующие системные файлы:
- <SYSTEM32>\d3d8thk.dll в <SYSTEM32>\d3d8thk.dll.bzxck
- <SYSTEM32>\dllcache\d3d8thk.dll в <SYSTEM32>\dllcache\d3d8thk.dll.bzxck
Самоудаляется.
