Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] '{081FE200-A103-11D7-A46D-C770E4459F2F}' = 'hookmir'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\SVCH0ST.EXE
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c <Текущая директория>\$$336699.bat
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\lnterapi64.dll
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\lnterapi64.dll
- <Текущая директория>\$$336699.bat
- <SYSTEM32>\lnterapi32.dll
- <SYSTEM32>\SVCH0ST.EXE
- %WINDIR%\MlcrosoftSound.wav
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\lnterapi32.dll
- <SYSTEM32>\lnterapi64.dll
- <SYSTEM32>\SVCH0ST.EXE
- %WINDIR%\MlcrosoftSound.wav
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'Tm`i`r2.20050228' WindowName: ''
- ClassName: 'MyClass' WindowName: '!@#$cjt%^&*'
- ClassName: 'T,m,i,r,2=20041114' WindowName: ''
- ClassName: 'TFRMMAIN' WindowName: ''
- ClassName: 'T.m.i.r.2-20040619' WindowName: ''
- ClassName: '#32770' WindowName: '??????5.16(??????)'
- ClassName: 'Tlntrenat' WindowName: 'lntrenat'
- ClassName: 'TIntrenat' WindowName: 'intrenat'
- ClassName: 'TZhangyongPwS3' WindowName: 'Windows IDE'
- ClassName: 'TNaNaDE' WindowName: 'Form1'
