Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '系统还原必须' = '%ProgramFiles(x86)%\home\gho.exe'
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\autbce8.tmp
- %TEMP%\autbd38.tmp
- %HOMEPATH%\favorites\搜狗一下-你就知道.url
- %HOMEPATH%\favorites\26176爱乐一起乐 小游戏.url
- %HOMEPATH%\favorites\330la在线小游戏.url
- %HOMEPATH%\favorites\淘宝网-淘!我喜欢.url
- %HOMEPATH%\favorites\xtxz系统下载 电脑维修站.url
- %HOMEPATH%\favorites\uc880单机游戏 下载基地.url
- %HOMEPATH%\favorites\百度一下-你就知道.url
- %HOMEPATH%\favorites\5307美图网.url
- %HOMEPATH%\favorites\9103.net绿色网址之家.url
- %HOMEPATH%\favorites\win7最新系统下载站.url
- %HOMEPATH%\favorites\xp890电脑系统下载.url
- %APPDATA%\microsoft\internet explorer\quick launch\网址导航.url
- %TEMP%\autbd18.tmp
- %ProgramFiles(x86)%\home\gho.exe
- %TEMP%\autbd58.tmp
- %WINDIR%\syswow64\1028\sogou.bat
Удаляет следующие файлы
- %TEMP%\autbce8.tmp
- %TEMP%\autbd18.tmp
- %TEMP%\autbd38.tmp
- %TEMP%\autbd58.tmp
Самоудаляется.
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ping 127.0.0.1 -n 3&del/q/s "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 3
