Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\HTTP\shell\open\command] '' = '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t reg_sz /d http://www.q1##.com/ /f
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command" /v "" /d "%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE" /f
- <SYSTEM32>\reg.exe add "HKEY_CLASSES_ROOT\HTTP\shell\open\command" /v "" /d "%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE" /f
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d http://www.q1##.com/ /f
- <SYSTEM32>\cmd.exe /c ""%TEMP%\968E.CMD""
- %WINDIR%\regedit.exe /s <SYSTEM32>\1028\║є╞┌╨▐▓╣.reg
- <SYSTEM32>\reg.exe delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\968E.CMD
Удаляет следующие файлы:
- %TEMP%\968E.CMD
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
