Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Policies\Microsoft\Windows\Control Panel\Desktop] 'SCRNSAVE.EXE' = ' %WINDIR%\web\win\b.bat'
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s %WINDIR%\web\win\13.reg
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 8
- '<SYSTEM32>\wbem\wmic.exe'
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\Web\win\1.bat
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\11a.bat
- '%WINDIR%\regedit.exe' /s %WINDIR%\web\win\qidong.reg
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Web\win\qidong.reg
- %WINDIR%\Web\win\qidong.bat
- %WINDIR%\Web\win\ma.rar
- %WINDIR%\Web\win\Rar.exe
- %TEMP%\tmp2.tmp
- %TEMP%\tmp1.tmp
- %WINDIR%\11a.bat
- %WINDIR%\Web\win\1.rar
- %WINDIR%\Web\win\1.bat
- %WINDIR%\Web\win\13.reg
- %WINDIR%\Web\win\b.bat
- %WINDIR%\Web\win\aa.vbs
- %WINDIR%\Web\win\aa.bat
Удаляет следующие файлы:
- %TEMP%\tmp1.tmp
- %TEMP%\~DF2C9B.tmp
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
