Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Shell' = '<SYSTEM32>\rlnsio.exe silent'
Заражает следующие исполняемые системные файлы:
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\InstallUtil.exe
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe
- %WINDIR%\$NtUninstallKB942288-v3$\spuninst\spuninst.exe
- %WINDIR%\$NtUninstallWIC$\spuninst\spuninst.exe
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\setup_wm.exe файлом <SYSTEM32>\dllcache\setup_wm.exe.new
- <SYSTEM32>\dllcache\setup50.exe файлом <SYSTEM32>\dllcache\setup50.exe.new
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Создает и запускает на исполнение:
- <SYSTEM32>\rlnsio.exe silent
- %TEMP%\<Имя вируса>.exe
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Windows Media Player\setup_wm.exe.new
- %PROGRAM_FILES%\Outlook Express\setup50.exe.new
- <SYSTEM32>\dllcache\setup_wm.exe.new
- <SYSTEM32>\dllcache\setup50.exe.new
- %TEMP%\nsg3.tmp\modern-header.bmp
- %TEMP%\~rlnsio.exe
- %TEMP%\<Имя вируса>.exe
- %TEMP%\nsq2.tmp
- <SYSTEM32>\rlnsio.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\rlnsio.exe
Удаляет следующие файлы:
- %TEMP%\~rlnsio.exe
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
