Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Cab' = '%PROGRAM_FILES%\Cab\Cab.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Fwsrv] 'ImagePath' = 'System32\Fws.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\BITS] 'ImagePath' = '%SystemRoot%\system32\svchost.exe -k netsvcs'
- [<HKLM>\SYSTEM\ControlSet001\Services\Fw] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Fwsrv] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
Создает и запускает на исполнение:
- %PROGRAM_FILES%\Cab\pesc.exe
- %TEMP%\Regini.exe
- %TEMP%\<Имя вируса> .exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\vo.pdf
- %TEMP%\Instdrv.exe
- <SYSTEM32>\zv.pdf
- <SYSTEM32>\vi.pdf
- %PROGRAM_FILES%\Cab\zv.pdf
- %PROGRAM_FILES%\Cab\fwset.exe
- %PROGRAM_FILES%\Cab\pesc.exe
- %PROGRAM_FILES%\Cab\vi.pdf
- %PROGRAM_FILES%\Cab\vo.pdf
- %PROGRAM_FILES%\Cab\Cab.exe
- %TEMP%\Regini.exe
- %TEMP%\<Имя вируса> .exe
- <DRIVERS>\Repod.sys
- <DRIVERS>\Fw.sys
- %TEMP%\fws.ini
- <SYSTEM32>\ftp2.exe
- %TEMP%\Fw.ini
- <SYSTEM32>\fws.exe
Удаляет следующие файлы:
- %TEMP%\Instdrv.exe
- %TEMP%\<Имя вируса> .exe
- %TEMP%\fws.ini
- %TEMP%\Regini.exe
- %TEMP%\Fw.ini
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
