Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '系统备份还原程序' = '%PROGRAM_FILES%\home\ghost.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\set2.exe
Запускает на исполнение:
- <SYSTEM32>\ping.exe 127.0.0.1 -n 3
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Favorites\5653安卓游戏网-手机游戏网,安卓游戏下载.url
- %HOMEPATH%\Favorites\3366小游戏.url
- %HOMEPATH%\Favorites\卓机网-安卓系统下载.url
- %HOMEPATH%\Favorites\系统主题之家.url
- %HOMEPATH%\Favorites\装机软件下载.url
- %HOMEPATH%\Favorites\淘宝网-淘!我喜欢.url
- %TEMP%\aut3.tmp
- %HOMEPATH%\Favorites\百度一下,你就知道.url
- %HOMEPATH%\Favorites\7k7k小游戏.url
- %HOMEPATH%\Favorites\单机游戏下载基地.url
- %HOMEPATH%\Favorites\114115网址导航.url
- %HOMEPATH%\Favorites\购物网站\淘宝网-淘!我喜欢.url
- %HOMEPATH%\Favorites\购物网站\卓越亚马逊网上购物-图书,手机,数码,家电,化妆品,钟表,首饰等在线销售.url
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %WINDIR%\set2.exe
- %HOMEPATH%\Favorites\购物网站\VANCL 凡客诚品.url
- %HOMEPATH%\Favorites\购物网站\聚美优品-化妆品团购.url
- %HOMEPATH%\Favorites\购物网站\梦芭莎女装.url
- %HOMEPATH%\Favorites\购物网站\当当网—网上购物中心.url
- %HOMEPATH%\Favorites\购物网站\京东网上购物商城.url
Удаляет следующие файлы:
- %TEMP%\aut3.tmp
- %WINDIR%\set2.exe
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
