Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\Alcohol.exe'
- '<SYSTEM32>\bpk.exe'
- '%TEMP%\afolder\alcohol.exe'
- '%TEMP%\RarSFX0\rinst.exe'
Запускает на исполнение:
- '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE' http://www.th##ite.org/alcohol.html
- '<SYSTEM32>\attrib.exe' +h %TEMP%\ztmp
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\bpk.exe
- <SYSTEM32>\bpkhk.dll
- %TEMP%\RarSFX0\rinst.exe
- <SYSTEM32>\pk.bin
- <SYSTEM32>\rinst.exe
- C:\JBtemp1.html
- <SYSTEM32>\bpkwb.dll
- <SYSTEM32>\inst.dat
- %TEMP%\RarSFX0\bpk.exe
- %TEMP%\ztmp\tmp57411.exe
- %TEMP%\RarSFX0\pk.bin
- %TEMP%\afolder\alcohol.exe
- %TEMP%\ztmp\tmp56891.bat
- %TEMP%\RarSFX0\bpkwb.dll
- %TEMP%\RarSFX0\Alcohol.exe
- %TEMP%\RarSFX0\inst.dat
- %TEMP%\RarSFX0\bpkhk.dll
Удаляет следующие файлы:
- %TEMP%\RarSFX0\inst.dat
- %TEMP%\RarSFX0\bpkwb.dll
- C:\JBtemp1.html
- %TEMP%\RarSFX0\rinst.exe
- %TEMP%\RarSFX0\pk.bin
- %TEMP%\ztmp\tmp57411.exe
- %TEMP%\RarSFX0\bpkhk.dll
- %TEMP%\RarSFX0\bpk.exe
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'PKL Window'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
