Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует главную загрузочную запись (MBR).
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\libgcc_s_dw2-1.dll
- %TEMP%\rarsfx0\libstdc++-6.dll
- %TEMP%\rarsfx0\start_dobrota.bat
- %TEMP%\rarsfx0\sound.vbs
- %TEMP%\rarsfx0\erroricons.exe
- %TEMP%\rarsfx0\erroriconscursor.exe
- %TEMP%\rarsfx0\invers.exe
- %TEMP%\rarsfx0\toonel.exe
- %TEMP%\rarsfx0\messages.vbs
- %TEMP%\rarsfx0\messages2.vbs
- %TEMP%\rarsfx0\mbr.exe
- %TEMP%\rarsfx0\crazyinvers.exe
- %TEMP%\rarsfx0\dobrota.mp3
- %TEMP%\rarsfx0\crazywarningicons.exe
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\wmpaf7162ee-9389-46e7-b617-ed9f8567013c[1]..png
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\media player\currentdatabase_372.wmdb
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'WMPlayerApp' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\mbr.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\RarSFX0\sound.vbs"
- '%TEMP%\rarsfx0\erroricons.exe'
- '%TEMP%\rarsfx0\invers.exe'
- '%TEMP%\rarsfx0\crazywarningicons.exe'
- '%TEMP%\rarsfx0\crazyinvers.exe'
- '%TEMP%\rarsfx0\erroriconscursor.exe'
- '%TEMP%\rarsfx0\toonel.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\RarSFX0\messages2.vbs"
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\RarSFX0\messages.vbs"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX0\start_dobrota.bat" "
