Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""C:\HardFloor.bat" "
- '<SYSTEM32>\rundll32.exe' setupapi,InstallHinfSection DefaultInstall 132 C:\Autorun.inf
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Rips DISAN Jet MDB.LNK
- <SYSTEM32>\RunTime.ini
- <SYSTEM32>\SacLibraries.dll
- <SYSTEM32>\ResChange.exe
- <SYSTEM32>\Rips DISAN Jet MDB(1).LNK
- <SYSTEM32>\Rips DISAN Jet MDB(2).LNK
- <SYSTEM32>\scan (2).exe
- <SYSTEM32>\setb0.tmp
- <SYSTEM32>\setup_patch.diff
- <SYSTEM32>\Sleep(1).exe
- <SYSTEM32>\scan.exe
- <SYSTEM32>\sdelevURL.tmp
- <SYSTEM32>\SecureConnector.ini
- <SYSTEM32>\RemoveWGA.exe
- <SYSTEM32>\Passwords .lnk
- <SYSTEM32>\pdfsam-jcmdline-1.0.6.jar
- <SYSTEM32>\pdfsam-starter.exe
- <SYSTEM32>\old haloupdate.exe
- <SYSTEM32>\oobetimer.reg
- <SYSTEM32>\Paseo.exe
- <SYSTEM32>\permdata.box
- <SYSTEM32>\Promujer.url
- <SYSTEM32>\quitarsounmix.exe
- <SYSTEM32>\Regedit malicioso.reg
- <SYSTEM32>\pixshare.ini
- <SYSTEM32>\potrace.exe
- <SYSTEM32>\power_spy_11_26_0_11-18-13.exe
- <SYSTEM32>\WPI.exe
- <SYSTEM32>\xkek.com
- <SYSTEM32>\xrwcxst0.xst
- <SYSTEM32>\w9xpopen.exe
- <SYSTEM32>\wahtmltmp00.htm
- <SYSTEM32>\WindowexeAllkiller.exe
- <SYSTEM32>\xuatei.tmp
- <SYSTEM32>\~DF55F6.tmp
- C:\HardFloor.bat
- C:\Autorun.inf
- <SYSTEM32>\zar85setup.exe
- <SYSTEM32>\_MEBA_EXE.lnk
- <SYSTEM32>\_socket.pyd
- <SYSTEM32>\w9xpopen (2).exe
- <SYSTEM32>\SWWATER.INI
- <SYSTEM32>\TextHarvester.dat
- <SYSTEM32>\Tutoriales Sofia.exe
- <SYSTEM32>\Sleep.exe
- <SYSTEM32>\SongrJumplistLauncher.exe
- <SYSTEM32>\STORM User 2.2CGR.lnk
- <SYSTEM32>\Uninstall Cradle Of Persia en Espanol.lnk
- <SYSTEM32>\Video Camara.exe
- <SYSTEM32>\Visita..Cargohe Descargas...url
- <SYSTEM32>\VLCPortable.exe
- <SYSTEM32>\UnZip.exe
- <SYSTEM32>\Validacion contable.lnk
- <SYSTEM32>\Video .lnk
- <SYSTEM32>\Cradle Of Persia en Espanol.lnk
- <SYSTEM32>\cyjnt.lnk
- <SYSTEM32>\DE CONDICION FISICA 7.xlsx.lnk
- <SYSTEM32>\BGSR.O
- <SYSTEM32>\Carpeta Natalia.exe
- <SYSTEM32>\cfbgf.tmp
- <SYSTEM32>\Default.rdp
- <SYSTEM32>\eliminar recycler, trashbin, accesos directos y desocultar archivos en esta unidad o carpeta.exe
- <SYSTEM32>\emp4j-1.0.2.jar
- <SYSTEM32>\Ereg.exe
- <SYSTEM32>\DelUS.bat
- <SYSTEM32>\dobbij.lnk
- <SYSTEM32>\dtx.ini
- <SYSTEM32>\BGSR.BK
- <SYSTEM32>\3.xps
- <SYSTEM32>\Acceso directo (6) a hp scanjet 5590.lnk
- <SYSTEM32>\Acceso directo a hp scanjet 5590.lnk
- <SYSTEM32>\1.xps
- <SYSTEM32>\2.xps
- <SYSTEM32>\2go-on-nokia-c3.exe
- <SYSTEM32>\activate.cmd
- <SYSTEM32>\Alborosie - Kingdom Of Zion - Acceso directo.lnk
- <SYSTEM32>\aludryidgb.lnk
- <SYSTEM32>\Archivos Video Camara.exe
- <SYSTEM32>\add_path (2).exe
- <SYSTEM32>\add_path.exe
- <SYSTEM32>\Age of Mythology - The Titans Expansion.lnk
- <SYSTEM32>\mkbitmap (2).exe
- <SYSTEM32>\mkbitmap.exe
- <SYSTEM32>\Mozilla Firefox.lnk
- <SYSTEM32>\maazus.com
- <SYSTEM32>\MediaID.bin
- <SYSTEM32>\Mis lugares.kmz
- <SYSTEM32>\mpkv.tmp
- <SYSTEM32>\net_rim_bb_qm_oc2007_help_it.cod.lnk
- <SYSTEM32>\net_rim_bb_qm_oc2007_resource_it.cod.lnk
- <SYSTEM32>\nxme.tmp
- <SYSTEM32>\mpserver.exe
- <SYSTEM32>\mugen.vbs
- <SYSTEM32>\NetWriter.lnk
- <SYSTEM32>\LEER PRIMERO.vbs
- <SYSTEM32>\fs_action_90996.bat
- <SYSTEM32>\fs_apps.vbs
- <SYSTEM32>\fs_kb.vbs
- <SYSTEM32>\fixit.exe
- <SYSTEM32>\Forms.url
- <SYSTEM32>\For_4.6.0.lnk
- <SYSTEM32>\gieror.com
- <SYSTEM32>\jyrh.lnk
- <SYSTEM32>\keiy.tmp
- <SYSTEM32>\ksry.tmp
- <SYSTEM32>\hokv.tmp
- <SYSTEM32>\InnoUnp.exe
- <SYSTEM32>\ir052.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\nxme.tmp
- <SYSTEM32>\mpkv.tmp
- <SYSTEM32>\xuatei.tmp
- <SYSTEM32>\SWWATER.INI
- <SYSTEM32>\ksry.tmp
- <SYSTEM32>\Default.rdp
- <SYSTEM32>\cfbgf.tmp
- <SYSTEM32>\keiy.tmp
- <SYSTEM32>\hokv.tmp
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
