Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}] 'Script' = '%WINDIR%\web\related.htm'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = 'SysLogDll.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\SysLogDll.exe' -d <SYSTEM32>\down.exe
- '<SYSTEM32>\www3.exe'
- '<SYSTEM32>\1.exe'
- '<SYSTEM32>\down.exe'
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s AlxRes.dll
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>/reg.bat
- '%WINDIR%\regedit.exe' /s a.reg
- '<SYSTEM32>\regsvr32.exe' /s AlxTB1.dll
- '%WINDIR%\regedit.exe' /s re.reg
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>/run.bat
- '%WINDIR%\regedit.exe' /s <SYSTEM32>/tmp.reg /s
- '<SYSTEM32>\cmd.exe' /c <SYSTEM32>\mmtmp.bat
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\AlxRes.dll
- <SYSTEM32>\www3.exe
- <SYSTEM32>\tmp.reg
- <SYSTEM32>\a.reg
- <SYSTEM32>\reg.bat
- <SYSTEM32>\AlxTB1.dll
- <SYSTEM32>\mmtmp.bat
- <SYSTEM32>\down.exe
- <SYSTEM32>\1.exe
- <SYSTEM32>\run.bat
- <SYSTEM32>\SysLogDll.exe
- <SYSTEM32>\re.reg
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\SysLogDll.exe
Удаляет следующие файлы:
- <SYSTEM32>\re.reg
- <SYSTEM32>\1.exe
- %TEMP%\~DF4C06.tmp
- <SYSTEM32>\down.exe
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
