Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] '{24F4D477-9E57-416A-8519-16D8A9BA0BCC}' = 'OLE Object'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'RepServ Manager' = '<SYSTEM32>\mpcsvc.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'RepServ Manager' = '<SYSTEM32>\mpcsvc.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- '<SYSTEM32>\mpcsvc.exe'
- '%TEMP%\189203.exe'
- '%TEMP%\178500.exe'
- '%TEMP%\179250.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\barseek.dll, load
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\p6hhr.bat" "%TEMP%\179250.exe""
Завершает или пытается завершить
следующие пользовательские процессы:
- java.exe
- opera.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\p6hhr.bat
- %TEMP%\189203.exe
- <SYSTEM32>\barseek.dll
- %TEMP%\178500.exe
- %TEMP%\179250.exe
- <SYSTEM32>\mpcsvc.exe
Удаляет следующие файлы:
- %TEMP%\179250.exe
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Kaspersky Anti-Hacker'
- ClassName: 'JeticoPersonalFirewall' WindowName: ''
- ClassName: '' WindowName: 'UmxTray SysTray notification window'
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'FireTray_Hidden_Window' WindowName: 'FireTray_Hidden_Window'
- ClassName: 'ZAFrameWnd' WindowName: 'ZoneAlarm Pro'
- ClassName: '' WindowName: 'Sygate Personal Firewall Pro'
- ClassName: '#32770' WindowName: ''
- ClassName: '' WindowName: 'KerioPersonalFirewallMainWindow'
- ClassName: '' WindowName: 'Look '
- ClassName: 'Symantec NAMApp Class' WindowName: ''
- ClassName: '' WindowName: 'BlackICE PC Protection'
