Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'NewHome' = '"<Полный путь к вирусу>" '
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}" /v "Version" /t REG_SZ /d "*" /f
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}" /v "Flags" /t REG_DWORD /d 1 /f
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "http://na####-search.com/search.php?re####################" /f
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}" /v "Version" /t REG_SZ /d "*" /f
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{93c338de-5fb5-4fb5-ab4e-0eedc0bd9f3a}" /v "Flags" /t REG_DWORD /d 1 /f
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "NewHome" /t REG_SZ /d "\"<Полный путь к вирусу>\" " /f
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}" /v "Flags" /t REG_DWORD /d 1 /f
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{93c338de-5fb5-4fb5-ab4e-0eedc0bd9f3a}" /v "Version" /t REG_SZ /d "*" /f
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
- chrome.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
