Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'KV2007' = '<SYSTEM32>\Makarov.bat'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\shutdown.exe -r -t 100
- <SYSTEM32>\reg.exe ADD "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://www.36##oc.com/ /f
- <SYSTEM32>\taskkill.exe -f -im explorer.exe
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\ОТІ»ЦЄµАОЄЙсВнДЗГґВэ.bat""
- <SYSTEM32>\reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v KV2007 /t REG_SZ /d <SYSTEM32>\Makarov.bat
- <SYSTEM32>\reg.exe delete HKLM\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL /va /f
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Makarov.bat
- %TEMP%\1.tmp\ОТІ»ЦЄµАОЄЙсВнДЗГґВэ.bat
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
