Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ctfmon.exe' = 'C:\\Windows\\System32\\ctfmon.exe'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Desktop' = '<SYSTEM32>\Deploy.exe -Go2Desktop'
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut2819.tmp
- C:\boot.ini
- %TEMP%\aut2868.tmp
- %TEMP%\aut34c7.tmp
- %APPDATA%\360se\360se.ini
- %TEMP%\aut34d8.tmp
- %APPDATA%\360se\360se_s.ini
- %TEMP%\aut34e9.tmp
- %APPDATA%\360se\360seie6.ini
- %TEMP%\aut34ea.tmp
- %APPDATA%\360se\data\360sefav.db
- %TEMP%\aut34fa.tmp
- %APPDATA%\360se\data\blankdata.ini
Удаляет следующие файлы
- %TEMP%\aut2819.tmp
- %TEMP%\aut2868.tmp
- %TEMP%\aut34c7.tmp
- %TEMP%\aut34d8.tmp
- %TEMP%\aut34e9.tmp
- %TEMP%\aut34ea.tmp
- %TEMP%\aut34fa.tmp
Самоудаляется.
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ping 127.0.0.1 -n 3&del /q "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ping 127.0.0.1 -n 3&del /q "<Полный путь к файлу>"
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 3
