Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = 'explorer.exe,<Имя вируса>.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'systemlogon' = '%WINDIR%\media\<Имя вируса>.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Taskman' = '<SYSTEM32>\<Имя вируса>.exe'
- [<HKLM>\SOFTWARE\Microsoft\Command Processor] 'Autorun' = 'exit'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'sync' = '<LS_APPDATA>\sync.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'syncmanager' = '%HOMEPATH%\Templates\syncman.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'systemlogonmanager' = '%HOMEPATH%\logon.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'systemlogonscript' = '%WINDIR%\AppPatch\<Имя вируса>.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Explor' = '%HOMEPATH%\Local Settings\explorer.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Explor' = '%WINDIR%\Config\explorer.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Juke Box' = '<LS_APPDATA>\exlog.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Explorer' = '%APPDATA%\explorer.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Local Security Subsystem' = '%HOMEPATH%\UserData\lsass.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Local Security Subsystem' = '%WINDIR%\lsass.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Explorer' = '<SYSTEM32>\explorer.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Создает и запускает на исполнение:
- %HOMEPATH%\Templates\em2.exe
- %HOMEPATH%\Templates\em3.exe
- %HOMEPATH%\Templates\em4.exe
- %HOMEPATH%\Templates\em1.exe
Запускает на исполнение:
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Anti*"
- <SYSTEM32>\taskkill.exe /f /im regedit.exe /im cmd.exe /im taskmgr.exe /im avgfree.exe /im avgsetup.exe /im tsnt2008.exe /im avast.setup /im SCANWSCS.exe /im QUHLPSVC.exe /im EMLPROXY.exe /im OPSSVC.exe /im ONLINENT.exe /im UPSCHD.exe /im SENSOR.exe /im EMLPROUI.exe /im rstrui.exe /im msconfig.exe /im mmc.exe /T
- <SYSTEM32>\taskkill.exe /f /im mcmscsvc.exe /im McNASvc.exe /im mcsysmon.exe /im McProxy.exe /im SiteAdv.exe /im mcagent.exe /im avgwdsvc.exe /im avgemc.exe /im avgfws8.exe /T
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Trojan*"
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Panda*"
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Virus*"
- <SYSTEM32>\taskkill.exe /f /im avgcsrvx.exe /im avgnsx.exe /im avgui.exe /im avgam.exe /im avgrsx.exe /im SETUPVSE.exe /im msconfig.exe /T
- <SYSTEM32>\taskkill.exe /f /im navapsvc.exe /im navapw32.exe /im navw32.exe /im nisserv.exe /im mcshield.exe /im mpfservice.exe /im fsaa.exe /im fsav.exe /im mmc.exe /im mcregist.exe /im mcmscsvc.exe /im McNASvc.exe /im mcsysmon.exe /im McProxy.exe /im mcsysmon.exe /im McProxy.exe /im SiteAdv.exe /im mcagent.exe /im avgsetup.exe /T
- <SYSTEM32>\taskkill.exe /f /im avgwdsvc.exe /im avgemc.exe /im avgfws8.exe /im avgcsrvx.exe /im avgnsx.exe /im avgui.exe /im onlinent.exe /im avgam.exe /im avgrsx.exe /im SCANWSCS.exe /im QUHLPSVC.exe /im EMLPROXY.exe /im OPSSVC.exe /im ONLINENT.exe /im UPSCHD.exe /im SENSOR.exe /im EMLPROUI.exe /im SCANNER.exe /T
- <SYSTEM32>\taskkill.exe /f /im avsched32.exe /im mmc.exe /im blackice.exe /im ccapp.exe /im ccproxy.exe /im cleaner.exe /im fameh32.exe /im fch32.exe /im smc.exe /im fih32.exe /im fnrb32.exe /im regedit.exe /im cmd.exe /im taskmgr.exe /im cmd.exe /im mcregist.exe /T
- <SYSTEM32>\ping.exe /a /n 5 /l 65500 www.so##s.pk
- <SYSTEM32>\taskkill.exe /f /im SCANWSCS.exe /im QUHLPSVC.exe /im EMLPROXY.exe /im OPSSVC.exe /im ONLINENT.exe /im UPSCHD.exe /im SENSOR.exe /im EMLPROUI.exe /im SCANNER.exe /T
- <SYSTEM32>\taskkill.exe /f /im ants.exe /im atwatch.exe /im avengine.exe /im avgcc32.exe /im avgnt.exe /im ccapp.exe /im avguard.exe /im avnt.exe /im avp.exe /im avpcc.exe /im nisserv.exe /im mcshield.exe /im mpfservice.exe /im fsaa.exe /im fsav.exe /im fsav32.exe /im fsgk32.exe /im pavfires.exe /T
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq PC TOOL*"
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Quick Heal*"
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Norton*"
- %WINDIR%\explorer.exe C:\
- <SYSTEM32>\reg.exe delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot /f
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Symantec*"
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq McAfee*"
- <SYSTEM32>\taskkill.exe /f /im mmc.exe /im outpost.exe /im pavfires.exe /im pavproxy.exe /im pccntmon.exe /im persfw.exe /im avast.setup /im regedit.exe /im cmd.exe /im taskmgr.exe /im cmd.exe /im nisserv.exe /im mcshield.exe /im mpfservice.exe /im fsaa.exe /im fsav.exe /im fsav32.exe /im fsgk32.exe /im pavfires.exe /T
- <SYSTEM32>\taskkill.exe /f /im navapsvc.exe /im navapw32.exe /im navw32.exe /im nisserv.exe /im mcshield.exe /im mpfservice.exe /im fsaa.exe /im fsav.exe /im anti-trojan.exe /im vbcons.exe /im vsmon.exe /im vsserv.exe /im vsstat.exe /im zapro.exe /im inst.exe /im qhunpack.exe /im tsnt2008.exe /im onlinent.exe /im mcregist.exe /im rstrui.exe /T
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Zone*"
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq Bit*"
- <SYSTEM32>\taskkill.exe /f /FI "WINDOWTITLE eq AVG*"
- <SYSTEM32>\taskkill.exe /f /im avgsetup.exe /im avgfree.exe /T
Завершает или пытается завершить
следующие пользовательские процессы:
- AVP.EXE
- AVGCC32.EXE
- AVPCC.EXE
- smc.exe
- ccapp.exe
- MCAGENT.EXE
- fsav32.exe
- fsav.exe
- outpost.exe
- zapro.exe
- NAVAPW32.EXE
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoRun' = '00000001'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Config\explorer.exe
- %APPDATA%\explorer.exe
- <LS_APPDATA>\log.dll
- %HOMEPATH%\Local Settings\explorer.exe
- %HOMEPATH%\Userdata\lsass.exe
- <LS_APPDATA>\wsx.dll
- <LS_APPDATA>\fold.dll
- <SYSTEM32>\explorer.exe
- %WINDIR%\lsass.exe
- %TEMP%\em3.dll
- %TEMP%\em4.dll
- %TEMP%\em1.dll
- %TEMP%\em2.dll
- %HOMEPATH%\Templates\em4.exe
- %HOMEPATH%\Templates\em3.exe
- <LS_APPDATA>\exlog.exe
- %HOMEPATH%\Templates\em1.exe
- %HOMEPATH%\Templates\em2.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\Templates\em2.exe
- %HOMEPATH%\Templates\em3.exe
- <LS_APPDATA>\wsx.dll
- %HOMEPATH%\Templates\em1.exe
- <Полный путь к вирусу>
- %HOMEPATH%\Templates\em4.exe
- <LS_APPDATA>\exlog.exe
Удаляет следующие файлы:
- <DRIVERS>\etc\hosts
Подменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Quick Heal Total Security Uninstaller'
- ClassName: '' WindowName: 'Setup'
- ClassName: '' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
