Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\Sound Max For Windows] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Sound Max For Windows] 'ImagePath' = '%WINDIR%\BEAR.EXE'
Создает следующие сервисы
- 'Sound Max For Windows' %WINDIR%\BEAR.EXE
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\calc.exe
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\bear.exe
- C:\autorun.inf
- C:\bear.exe
- D:\autorun.inf
- D:\bear.exe
- %WINDIR%\syswow64\_bear.exe
- %WINDIR%\delsvel.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\bear.exe
- C:\autorun.inf
- C:\bear.exe
- D:\autorun.inf
- D:\bear.exe
- %WINDIR%\syswow64\_bear.exe
Самоудаляется.
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'Static' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\bear.exe'
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\DelSvel.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\calc.exe'
- '%ProgramFiles%\internet explorer\iexplore.exe'
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\DelSvel.bat
