Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%TEMP%\googleUpdate.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Внедряет код в
следующие пользовательские процессы:
- tmp5e82.tmp.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmp5e82.tmp
- %TEMP%\googleupdate.exe
- %TEMP%\tmp5f6d.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\googleupdate.exe
Перемещает следующие файлы
- %TEMP%\tmp5e82.tmp в %TEMP%\tmp5e82.tmp.exe
Другое
Создает и запускает на исполнение
- '%TEMP%\tmp5e82.tmp.exe'
- '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\tmp5F6D.tmp" "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\tmp5F6D.tmp" "<Полный путь к файлу>"
