Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Win host' = '%WINDIR%\system\Drivers\Intel\Winhost.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Win sever' = '%WINDIR%\system\Drivers\Intel\Winsever.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\Recycle Bin\Tailieu.exe
- <Имя диска съемного носителя>:\Tailieu.lnk
- <Имя диска съемного носителя>:\Recycle Bin.lnk
- <Имя диска съемного носителя>:\Recycle Bin\Ebook.exe
- <Имя диска съемного носителя>:\Ebook.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\system\Drivers\Intel\winsever.exe'
- '%WINDIR%\system\Drivers\Intel\winhost.exe'
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' +H +S "e:\Tailieu"
- '<SYSTEM32>\attrib.exe' +H +S "e:\Ebook"
- '<SYSTEM32>\attrib.exe' +R +H +S "%WINDIR%\system\*.*" /S /D
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\system\Drivers\Intel\winhost.exe
- %WINDIR%\system\Drivers\Intel\winsever.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\system\Drivers\Intel\winsever.exe
- %WINDIR%\system\Drivers\Intel\winhost.exe
