Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\0056\play.exe
- %TEMP%\is-R4O9R.tmp\<Имя вируса>.tmp /SL5="$40036,308376,60928,<Полный путь к вирусу>"
Запускает на исполнение:
- <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\0056\desktop.vbs" /s /v "/qb"
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\0056\is-MIQ8L.tmp
- %PROGRAM_FILES%\0056\is-A48NP.tmp
- %HOMEPATH%\Desktop\ОТ°®ТфАЦНш.lnk
- %PROGRAM_FILES%\0056\unins000.dat
- %TEMP%\is-G03FO.tmp\_isetup\_RegDLL.tmp
- %TEMP%\is-R4O9R.tmp\<Имя вируса>.tmp
- %PROGRAM_FILES%\0056\is-7OEOS.tmp
- %TEMP%\is-G03FO.tmp\_isetup\_shfoldr.dll
Удаляет следующие файлы:
- %TEMP%\is-R4O9R.tmp\<Имя вируса>.tmp
- %TEMP%\is-G03FO.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-G03FO.tmp\_isetup\_RegDLL.tmp
Перемещает следующие файлы:
- %PROGRAM_FILES%\0056\is-MIQ8L.tmp в %PROGRAM_FILES%\0056\desktop.vbs
- %PROGRAM_FILES%\0056\is-A48NP.tmp в %PROGRAM_FILES%\0056\play.exe
- %PROGRAM_FILES%\0056\is-7OEOS.tmp в %PROGRAM_FILES%\0056\unins000.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
