Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\At2.job
- %WINDIR%\Tasks\At1.job
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\perrfmon.exe' "<SYSTEM32>\ssortkey.nls"
- '%TEMP%\1229624719.tmp' "%TEMP%\151783230.bin"
Запускает на исполнение:
- '<SYSTEM32>\at.exe' 22:40 <SYSTEM32>\cmd.exe /c del /F /Q "<Полный путь к вирусу>"
- '<SYSTEM32>\at.exe' 21:21 /every:T "<SYSTEM32>\perrfmon.exe"
- '<SYSTEM32>\regsvr32.exe' /s "<SYSTEM32>\dbnetlibb.dll"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\dbnetlibb.dll
- <LS_APPDATA>\ApplicationHistory\<Имя вируса>.exe.bf81a5f0.ini
- <SYSTEM32>\2041\inf2041.dat
- <SYSTEM32>\ssortkey.nls
- %TEMP%\151783230.bin
- %TEMP%\1229624719.tmp
- <SYSTEM32>\perrfmon.exe
Удаляет следующие файлы:
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch.2916.147156
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch.2916.147250
- %TEMP%\1229624719.tmp
- %TEMP%\151783230.bin
Перемещает следующие системные файлы:
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch в %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch.2916.147250
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch в %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch.2916.147156
