Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\is-L7UG7.tmp\is-O1LO0.tmp /SL4 $300DC "%TEMP%\IXP000.TMP\ЧФ¶ЇІй~1.EXE" 64000 64000
- %TEMP%\IXP000.TMP\ЧФ¶ЇІй~1.EXE
- %TEMP%\IXP000.TMP\10010.EXE
Запускает на исполнение:
- %WINDIR%\regedit.exe /s 1.reg
- <SYSTEM32>\cmd.exe /c ""%TEMP%\E291.CMD""
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\is-L7UG7.tmp\is-O1LO0.tmp
- %TEMP%\is-LA70L.tmp\_isetup\_RegDLL.tmp
- %TEMP%\is-LA70L.tmp\_isetup\_shfoldr.dll
- %TEMP%\IXP000.TMP\1.reg
- %TEMP%\IXP000.TMP\10010.EXE
- %TEMP%\IXP000.TMP\ЧФ¶ЇІй~1.EXE
- %TEMP%\E291.CMD
Удаляет следующие файлы:
- %TEMP%\IXP000.TMP\1.reg
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
