Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\IXP000.TMP\ie5wzd.exe /S:"%TEMP%\vaqb5y\<Имя вируса>.exe"
- %TEMP%\vaqb5y\<Имя вируса>.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\IXP000.TMP\this.txt
- %TEMP%\IXP000.TMP\ie.txt
- %TEMP%\IXP000.TMP\license.txt
- %TEMP%\IXP000.TMP\w95inf16.dll
- %TEMP%\IXP000.TMP\w95inf32.dll
- %TEMP%\IXP000.TMP\iedetect.dll
- %TEMP%\IXP000.TMP\ie5wzd.exe.local
- %TEMP%\IXP000.TMP\mspatch.dll
- %TEMP%\IXP000.TMP\pidgen.dll
- %TEMP%\IXP000.TMP\advpext.dll
- %TEMP%\IXP000.TMP\iesetup.hlp
- %TEMP%\IXP000.TMP\ie5wzd.exe
- %TEMP%\IXP000.TMP\advpack.dll
- %TEMP%\IXP000.TMP\Urlmon.dll
- %TEMP%\vaqb5y\<Имя вируса>.exe
- %TEMP%\IXP000.TMP\Wininet.dll
- %TEMP%\IXP000.TMP\iesetup.inf
- %TEMP%\IXP000.TMP\homepage.inf
- %TEMP%\IXP000.TMP\content.inf
- %TEMP%\IXP000.TMP\globe.ani
- %TEMP%\IXP000.TMP\inseng.dll
- %TEMP%\IXP000.TMP\iesetup.cif
Удаляет следующие файлы:
- %TEMP%\vaqb5y\<Имя вируса>.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
