Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'services' = 'C:\wininit.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'dump' = 'C:\wininit.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- trkoxp.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\trkoxp.exe
- %TEMP%\ixp000.tmp\trojan~1.exe
- %WINDIR%\trkoxp.exe
- C:\www.google.com.htm
- %TEMP%\tmpui.exe
- %TEMP%\gg.ico
- C:\wininit.exe
- %ProgramFiles(x86)%\java\jre-08\bin\jusched.exe
- %ProgramFiles(x86)%\java\jre-08\bin\uf
- %TEMP%\xxx18dd.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- C:\www.google.com.htm
- C:\wininit.exe
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\trkoxp.exe'
- '%WINDIR%\trkoxp.exe'
- '%TEMP%\tmpui.exe'
- '%TEMP%\ixp000.tmp\trojan~1.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v services /d "C:\wininit.exe" /t REG_SZ (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v dump /d "C:\wininit.exe" /t REG_SZ (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' \c attrib +s +a +h C:\wininit.exe (со скрытым окном)
- '%WINDIR%\syswow64\attrib.exe' +s +a +h C:\wininit.exe (со скрытым окном)
- '%TEMP%\ixp000.tmp\trkoxp.exe' (со скрытым окном)
- '%TEMP%\ixp000.tmp\trojan~1.exe' (со скрытым окном)
