Техническая информация
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bt0342.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bt0342.bat
Удаляет следующие файлы
- %TEMP%\bt0342.bat
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\bt0342.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\bt0342.bat
- '%WINDIR%\syswow64\regini.exe' "%WINDIR%\recen.ini"
- '%WINDIR%\syswow64\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "First Home Page" /d "http://www.22##99.com/" /f
- '%WINDIR%\syswow64\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.22##99.com/" /f
- '%WINDIR%\syswow64\reg.exe' delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{36AAB89D-9FF5-4128-9BAE-B9867A245192} /f
- '%WINDIR%\syswow64\reg.exe' delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E05BC2A3-9A46-4a32-80C9-023A473F5B23} /f
- '%WINDIR%\syswow64\regini.exe' "%WINDIR%\recent.ini"
- '%WINDIR%\syswow64\attrib.exe' +R -A +S "C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Preferences"
- '%WINDIR%\syswow64\attrib.exe' +R -A +S "C:\Users\Administrator\AppData\Roaming\Baidu\browser\UserData\0A73B7929C9546628F097CEEACA6E079410064006d0069006e006900730074007200610074006f007200\userpref_v2"
