Техническая информация
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut954c.tmp
- %LOCALAPPDATA%\lintmp\fav~url.tmp
- %HOMEPATH%\favorites\舒塬林u启动.url
- %TEMP%\aut97ec.tmp
- %TEMP%\fbinst.dll
Удаляет следующие файлы
- %TEMP%\aut954c.tmp
- %LOCALAPPDATA%\lintmp\fav~url.tmp
- %TEMP%\aut97ec.tmp
- %TEMP%\fbinst.dll
Самоудаляется.
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\lintmp\fav~url.tmp' -y -o"%HOMEPATH%\Favorites"
- '%TEMP%\fbinst.dll' "%WINDIR%\LINOnce\SUPPORT.IM_" output IMG\* %~nx
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %TEMP%\fbinst.dll "%WINDIR%\LINOnce\SUPPORT.IM_" output IMG\* %~nx (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 -n 50® add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.2345.com/?k136905966" /f (со скрытым окном)
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 50
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 -n 3&del /q "<Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.2345.com/?k136905966" /f
- '%LOCALAPPDATA%\lintmp\fav~url.tmp' -y -o"%HOMEPATH%\Favorites" (со скрытым окном)
