Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{6096E38F-5AC1-9527-8EC4-75DFA92FB32F}] 'Exec' = 'http://www.baidu.com/index.php?tn=kzxf_pg'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
- '%WINDIR%\regedit.exe' /s %TEMP%\url.reg
- '<SYSTEM32>\cmd.exe' /c %TEMP%\com.bat
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut8.tmp
- %HOMEPATH%\Favorites\在线Flash小游戏.url
- %TEMP%\aut9.tmp
- %HOMEPATH%\Favorites\电脑必备软件.url
- %TEMP%\aut7.tmp
- %HOMEPATH%\Favorites\雨林木风下载.url
- %TEMP%\autB.tmp
- %TEMP%\url.reg
- %TEMP%\com.bat
- %HOMEPATH%\Favorites\热门单机游戏下载.url
- %TEMP%\autA.tmp
- %HOMEPATH%\Favorites\windows7系统下载.url
- %APPDATA%\ylmf.ico
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk
- %TEMP%\aut3.tmp
- %TEMP%\aut1.tmp
- %APPDATA%\bd.ico
- %TEMP%\aut2.tmp
- %TEMP%\aut5.tmp
- %HOMEPATH%\Favorites\最新XP系统免费下载.url
- %TEMP%\aut6.tmp
- %HOMEPATH%\Favorites\网址导航.url
- %TEMP%\aut4.tmp
- %HOMEPATH%\Favorites\系统盘下载.url
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk
- %APPDATA%\ylmf.ico
- %APPDATA%\bd.ico
Удаляет следующие файлы:
- %TEMP%\autA.tmp
- %TEMP%\aut9.tmp
- %TEMP%\aut8.tmp
- %TEMP%\url.reg
- %TEMP%\com.bat
- %TEMP%\autB.tmp
- %TEMP%\aut7.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut6.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut4.tmp
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
