Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe expl0rer.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\readme.exe
- <Имя диска съемного носителя>:\console.exe
- <Имя диска съемного носителя>:\Autorun.inf
- <Имя диска съемного носителя>:\scanner.exe
- <Имя диска съемного носителя>:\Message.exe
- <Имя диска съемного носителя>:\avast.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
Завершает или пытается завершить
следующие пользовательские процессы:
- NAVAPW32.EXE
- mpftray.exe
- GUARD.EXE
- ntvdm.exe
- firefox.exe
- ZONEALARM.EXE
- zapro.exe
- fsav32.exe
- AVP.EXE
- AVGCTRL.EXE
- AVGCC32.EXE
- AVP32.EXE
- AVSYNMGR.EXE
- AVPM.EXE
- AVPCC.EXE
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] 'NoFolderOptions' = '00000001'
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Internet Explorer\Main] 'Window Title' = 'Berahi kay Nanganal,. Enjoy YOU PORN.COM hahaha! Hacked by: MALWARE INFECTED...'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- C:\readme.exe
- C:\avast.exe
- C:\Autorun.inf
- C:\console.exe
- %WINDIR%\expl0rer.exe
- C:\Message.exe
- C:\scanner.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\console.exe
- <Имя диска съемного носителя>:\Autorun.inf
- C:\Autorun.inf
- %WINDIR%\expl0rer.exe
- C:\console.exe
Удаляет следующие файлы:
- <Имя диска съемного носителя>:\Autorun.inf
- C:\Autorun.inf
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
