Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '?????' = '%ALLUSERSPROFILE%\Synaptics\Synaptics.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\clickme.exe
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- synaptics.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\._cache_<Имя файла>.exe
- %ALLUSERSPROFILE%\synaptics\synaptics.exe
- <Текущая директория>\._cache_synaptics.exe
- C:\clickme.exe
- D:\clickme.exe
- %TEMP%\dllhost.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\._cache_<Имя файла>.exe
- %ALLUSERSPROFILE%\synaptics\synaptics.exe
- <Текущая директория>\._cache_synaptics.exe
- %TEMP%\dllhost.exe
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\._cache_<Имя файла>.exe'
- '%ALLUSERSPROFILE%\synaptics\synaptics.exe' InjUpdate
- '%ALLUSERSPROFILE%\synaptics\synaptics.exe'
- '<Текущая директория>\._cache_synaptics.exe'
- '%TEMP%\dllhost.exe'
- '%WINDIR%\syswow64\attrib.exe' +h "%TEMP%\dllhost.exe"' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\attrib.exe' +h "%TEMP%\dllhost.exe"
