Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'DefenIfWIn' = '<Полный путь к файлу>'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\-=click_me=--ad.txt
- <Имя диска съемного носителя>:\toolbar.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\coffee.bmp
- <Имя диска съемного носителя>:\dashborder_120.bmp
- <Имя диска съемного носителя>:\default.bmp
- <Имя диска съемного носителя>:\sdksampleunprivdeveloper.cer
- <Имя диска съемного носителя>:\pmd.cer
- <Имя диска съемного носителя>:\sdkfailsafeemulator.cer
- <Имя диска съемного носителя>:\contoso.cer
- <Имя диска съемного носителя>:\contosoroot_1.cer
- <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
- <Имя диска съемного носителя>:\applicantform_en.doc
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Изменения в файловой системе
Создает следующие файлы
- D:\-=click_me=--ad.txt
- C:\-=click_me=--ad.txt
- C:\documents and settings\-=click_me=--ad.txt
- C:\far2\-=click_me=--ad.txt
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c wmic.exe shadowcopy delete
- '<SYSTEM32>\vssvc.exe'
