Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{6096E38F-5AC1-4391-8EC4-75DFA92FB32F}] 'Exec' = 'http://114zn.cn/'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\attrib.exe +s +h C:\Recycled
- <SYSTEM32>\attrib.exe +s +h C:\Recycled\desktop.ini
- <SYSTEM32>\cacls.exe C:\Recycled\desktop.ini /T /C /P everyone:N
- <SYSTEM32>\mode.com con: COLS=50 LINES=30
- %WINDIR%\regedit.exe /s <LS_APPDATA>\oem.reg
- <SYSTEM32>\attrib.exe -s -h -r C:\Recycled\*.*
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\safeboot.reg
- <LS_APPDATA>\showall.reg
- <LS_APPDATA>\regimage.reg
- <LS_APPDATA>\packet.dll
- <LS_APPDATA>\pthreadVC.dll
- %TEMP%\bt1524.bat
- C:\Recycled\desktop.ini
- <LS_APPDATA>\xpyh.reg
- <LS_APPDATA>\winsock.reg
- <LS_APPDATA>\wpcap.dll
- <LS_APPDATA>\inshare.reg
- <LS_APPDATA>\my.bat
- <LS_APPDATA>\fixassoc.reg
- <LS_APPDATA>\autorun.reg
- <LS_APPDATA>\deshare.reg
- <LS_APPDATA>\npf.sys
- <LS_APPDATA>\oem.reg
- <LS_APPDATA>\noshare.reg
- <LS_APPDATA>\noautorun.reg
- <LS_APPDATA>\norun.reg
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\Recycled\desktop.ini
- %TEMP%\bt1524.bat
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
