Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\software\microsoft\windows\currentversion\RunOnce] 'jWinamp' = '%APPDATA%\jWinamp\jWinamp.exe'
Вредоносные функции
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль advapi32.dll
- Процесс iexplore.exe, модуль wininet.dll
- Процесс iexplore.exe, модуль dnsapi.dll
- Процесс iexplore.exe, модуль cryptsp.dll
- Процесс iexplore.exe, модуль iphlpapi.dll
- Процесс iexplore.exe, модуль urlmon.dll
- Процесс iexplore.exe, модуль mshtml.dll
- Процесс iexplore.exe, модуль secur32.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7938573932.ocx
- %TEMP%\5335506672.ocx
- %TEMP%\7159544d37.ocx
- %TEMP%\6958306163.ocx
- %TEMP%\4b6d723953.ocx
- %TEMP%\766d33394a.ocx
- %TEMP%\2055.tmp
- %TEMP%\51d.tmp
- %APPDATA%\jwinamp\jwinamp.exe
Самоудаляется.
Другое
Запускает на исполнение
- '<SYSTEM32>\logonui.exe' /flags:0x1
