Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\CLSID\{98641F47-8C25-4936-BEE4-C2CE1298969D}\Shell\Open\command] '' = 'Control Userpasswords2'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /S %WINDIR%\Personal\run.reg
- '%WINDIR%\regedit.exe' /S %WINDIR%\Personal\Game-MOD.reg
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%/Personal/Game-MOD.bat" "
- '<SYSTEM32>\wscript.exe' "%WINDIR%\Personal\run.vbs"
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%/Personal/run.bat" "
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Personal\run.reg
- %WINDIR%\Personal\run.bat
- %WINDIR%\Personal\on.vbs
- %WINDIR%\Personal\run.vbs
- %WINDIR%\Personal\tryb2.ico
- %WINDIR%\Personal\tryb1.ico
- %WINDIR%\Personal\SH.vbs
- %WINDIR%\Personal\off.vbs
- %WINDIR%\Personal\Game-MOD.reg
- %WINDIR%\Personal\Game-MOD.bat
- %WINDIR%\Personal\data\system.vbs
- %WINDIR%\Personal\Game-MOD_disable.bat
- %WINDIR%\Personal\Game-MOD_enable.vbs
- %WINDIR%\Personal\Game-MOD_enable.bat
- %WINDIR%\Personal\Game-MOD_disable.vbs
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
