Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Setup2233' = '%WINDIR%\START MENU\PROGRAMS\STARTUP\MySetup.exe'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Setup3322' = '%WINDIR%\WinUpgrader88.EXE'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'AOL4290' = 'C:\COMMAND.EXE'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'PC4FREE' = '<SYSTEM32>\AOLsys.doc.EXE'
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKLM>\Software\Wow6432Node\Microsoft\Internet Explorer\Main] 'Window Title' = 'Broken'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\winupgrader88.exe
- <SYSTEM32>aolsys.doc.exe
- C:\command.exe
- C:\null.exe
- C:\aol.ini
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\winupgrader88.exe
- C:\command.exe
Другое
Ищет следующие окна
- ClassName: 'Shell_traywnd' WindowName: ''
- ClassName: 'Progman' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' mouse,disable' (со скрытым окном)
- '%WINDIR%\syswow64\rundll32.exe' keyboard,disable' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' mouse,disable
- '%WINDIR%\syswow64\rundll32.exe' keyboard,disable
