Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\At2.job
- %WINDIR%\Tasks\At1.job
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\chhkdsk.exe "<SYSTEM32>\c_285593.nls"
- %TEMP%\493917131.tmp "%TEMP%\2933420934.bin"
Запускает на исполнение:
- <SYSTEM32>\at.exe 12:51 <SYSTEM32>\cmd.exe /c del /F /Q "<Полный путь к вирусу>"
- <SYSTEM32>\at.exe 11:22 /every:W "<SYSTEM32>\chhkdsk.exe"
- <SYSTEM32>\regsvr32.exe /s "<SYSTEM32>\netapi322.dll"
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch.new
- <LS_APPDATA>\ApplicationHistory\<Имя вируса>.exe.bf81a5f0.ini
- <SYSTEM32>\3004\inf3004.dat
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch.new
- <SYSTEM32>\netapi322.dll
- %TEMP%\493917131.tmp
- %TEMP%\2933420934.bin
- <SYSTEM32>\c_285593.nls
- <SYSTEM32>\chhkdsk.exe
Удаляет следующие файлы:
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch.2840.138406
- %WINDIR%\Tasks\At2.job
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch.2840.138359
- %TEMP%\493917131.tmp
- %TEMP%\2933420934.bin
Перемещает следующие системные файлы:
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch в %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch.2840.138406
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch в %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch.2840.138359
Самоудаляется.
