Техническая информация
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~nsu.tmp\au_.exe
- %TEMP%\nsv35c0.tmp\system.dll
- %TEMP%\$~logu.tmp
- %APPDATA%\microsoft\internet explorer\quick launch\æô¶¯ internet explorer ä¯à à æ÷.lnk
- %APPDATA%\microsoft\windows\start menu\internet explorer.lnk
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\internet explorer.lnk
- %TEMP%\$~logi.tmp
- %APPDATA%\microsoft\internet explorer\quick launch\mozilla firefox.lnk
- %APPDATA%\microsoft\windows\start menu\mozilla firefox.lnk
- %HOMEPATH%\desktop\mozilla firefox.lnk
- %APPDATA%\microsoft\internet explorer\quick launch\¹è¸èä¯à à æ÷.lnk
- %APPDATA%\microsoft\windows\start menu\¹è¸èä¯à à æ÷.lnk
- %HOMEPATH%\desktop\¹è¸èä¯à à æ÷.lnk
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\¹è¸èä¯à à æ÷\¹è¸èä¯à à æ÷.lnk
- %WINDIR%\syswow64\ieeula.dll
Удаляет следующие файлы
- %TEMP%\nsv35c0.tmp\system.dll
Другое
Создает и запускает на исполнение
- '%TEMP%\~nsu.tmp\au_.exe' _?=<Текущая директория>\
- '%WINDIR%\syswow64\regini.exe' %TEMP%\$~LOGU.TMP' (со скрытым окном)
- '%WINDIR%\syswow64\regini.exe' %TEMP%\$~LOGI.TMP' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\regini.exe' %TEMP%\$~LOGU.TMP
- '%WINDIR%\syswow64\regini.exe' %TEMP%\$~LOGI.TMP
