Техническая информация
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~d400.bat
- %LOCALAPPDATA%\internet.bat
- %TEMP%\tmp.reg
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\~d400.bat
Удаляет следующие файлы
- %TEMP%\tmp.reg
- %TEMP%\~d400.bat
- %LOCALAPPDATA%\internet.bat
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\~D400.bat "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\~D400.bat "<Полный путь к файлу>"
- '%WINDIR%\syswow64\regedit.exe' /s "%TEMP%\tmp.reg"
- '%WINDIR%\syswow64\reg.exe' delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
- '%WINDIR%\syswow64\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.592wg.org" /f
