Техническая информация
Для обеспечения автозапуска и распространения:
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\msimg32.dll файлом <SYSTEM32>\dllcache\msimg32.dll
- <SYSTEM32>\dllcache\midimap.dll файлом <SYSTEM32>\dllcache\midimap.dll
- <SYSTEM32>\midimap.dll файлом <SYSTEM32>\midimap.dll
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\御-梦幻西游.exe'
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' stop cryptsvc
- '<SYSTEM32>\rundll32.exe'
- '<SYSTEM32>\sc.exe' delete cryptsvc
- '<SYSTEM32>\net.exe' stop cryptsvc
- '<SYSTEM32>\sc.exe' config cryptsvc start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\yumsimg32.dll
- <SYSTEM32>\yumidimap.dll
- <SYSTEM32>\sysapp2.dll
- <SYSTEM32>\msimg32.dll
- <SYSTEM32>\dllcache\ksuser.dll
- %TEMP%\2007-02-06-xyq.eip
- %TEMP%\御-梦幻西游.exe
- <SYSTEM32>\ksuser.dll
- %TEMP%\1366247074.dat
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\1366247074.dat
Удаляет следующие файлы:
- <SYSTEM32>\msimg32.dll
- <SYSTEM32>\dllcache\msimg32.dll
- <SYSTEM32>\midimap.dll
- <SYSTEM32>\dllcache\midimap.dll
