Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Lord' = '%WINDIR%\43\banana.bat'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' +r +s +h %WINDIR%\43\*.*
- '<SYSTEM32>\wscript.exe' "%WINDIR%\43\vf.vbs"
- '<SYSTEM32>\attrib.exe' +r +s +h %WINDIR%\43
- '<SYSTEM32>\attrib.exe' +h %TEMP%\ztmp
- '<SYSTEM32>\wscript.exe' "%WINDIR%\43\df.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\43\vf.vbs
- %WINDIR%\43\df.vbs
- %WINDIR%\43\banana.bat
- %TEMP%\ztmp\tmp35881.bat
- %TEMP%\ztmp\tmp36901.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\43\vf.vbs
- %WINDIR%\43\df.vbs
- %WINDIR%\43\banana.bat
Удаляет следующие файлы:
- %TEMP%\ztmp\tmp36901.exe
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
