Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Интерпретатора командной строки (CMD)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Внедряет код в
следующие системные процессы:
- %WINDIR%\twunk_32.exe
следующие пользовательские процессы:
- iexplore.exe
Ищет следующие окна с целью
обнаружения различных программ и игр:
- ClassName: '', WindowName: 'Yahoo! Messenger'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\delete.bat
- %TEMP%\sqlite3.dll
Удаляет следующие файлы
- %TEMP%\sqlite3.dll
Изменяет файл HOSTS.
Самоудаляется.
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\delete.bat""
- '%WINDIR%\twunk_32.exe'
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' /scomma "%TEMP%\tmp.ini"
