Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{6096E38F-5AC1-9527-8EC4-75DFA92FB32F}] 'Exec' = 'http://www.baidu.com/index.php?tn=kzxf_pg'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe,'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\ping.exe 127.0.0.1 -n 3
- %WINDIR%\regedit.exe /s %TEMP%\url.reg
- <SYSTEM32>\cmd.exe /c %TEMP%\com.bat
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut8.tmp
- %HOMEPATH%\Favorites\4399小游戏,单人游戏,双人游戏.url
- %TEMP%\aut9.tmp
- %HOMEPATH%\Favorites\电脑装机必备软件.url
- %TEMP%\aut7.tmp
- %HOMEPATH%\Favorites\雨林木风系统下载.url
- %TEMP%\autB.tmp
- %TEMP%\url.reg
- %TEMP%\com.bat
- %HOMEPATH%\Favorites\热门单机游戏下载.url
- %TEMP%\autA.tmp
- %HOMEPATH%\Favorites\windows7系统下载.url
- %APPDATA%\ylmf.ico
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk
- %TEMP%\aut3.tmp
- %TEMP%\aut1.tmp
- %APPDATA%\bd.ico
- %TEMP%\aut2.tmp
- %TEMP%\aut5.tmp
- %HOMEPATH%\Favorites\最新XP系统免费下载.url
- %TEMP%\aut6.tmp
- %HOMEPATH%\Favorites\网址导航.url
- %TEMP%\aut4.tmp
- %HOMEPATH%\Favorites\深度系统下载.url
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk
- %APPDATA%\ylmf.ico
- %APPDATA%\bd.ico
Удаляет следующие файлы:
- %TEMP%\autA.tmp
- %TEMP%\aut9.tmp
- %TEMP%\aut8.tmp
- %TEMP%\url.reg
- %TEMP%\com.bat
- %TEMP%\autB.tmp
- %TEMP%\aut7.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut6.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut4.tmp
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
