Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\piffile\shell\open\command] '' = '<Полный путь к вирусу> "%1"'
- [<HKLM>\SOFTWARE\Classes\cmdfile\shell\open\command] '' = '<Полный путь к вирусу> "%1"'
- [<HKLM>\SOFTWARE\Classes\scrfile\shell\open\command] '' = '<Полный путь к вирусу> "%1"'
- [<HKLM>\SOFTWARE\Classes\exefile\shell\open\command] '' = '<Полный путь к вирусу> "%1"'
- [<HKLM>\SOFTWARE\Classes\comfile\shell\open\command] '' = '<Полный путь к вирусу> "%1"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' %WINDIR%\LozK.vbe
- '<SYSTEM32>\ntvdm.exe' -f -i1
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\LozK.bat
- %WINDIR%\Temp\scs1.tmp
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\WDat\52253.exe
- %WINDIR%\kernel32.vxd
- %WINDIR%\user32.vxd
- %WINDIR%\LozK.vbe
Удаляет следующие файлы:
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
- %WINDIR%\Temp\WDat\52253.exe
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'Windows Task Manager'
- ClassName: '(null)' WindowName: 'Utilidad de configuracisn del sistema'
- ClassName: '(null)' WindowName: 'System Configuration Utility'
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b28.b34.380001'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'Administrador de tareas de Windows'
- ClassName: '(null)' WindowName: 'NOD32 Control Center'
- ClassName: '(null)' WindowName: 'NAVAPW32'
- ClassName: '(null)' WindowName: 'AVP Monitor'
- ClassName: '(null)' WindowName: 'Editor del Registro'
- ClassName: '(null)' WindowName: 'Registry Editor'
- ClassName: '(null)' WindowName: 'Per Antivirus - Administrador de Componentes'
