Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\NIRCMD.EXE' killprocess DriverReviverUpdater.exe
- '%TEMP%\RarSFX0\NIRCMD.EXE' killprocess badpstray.exe
- '%TEMP%\RarSFX0\XenoCoder.exe'
- '%TEMP%\RarSFX0\NIRCMD.EXE' killprocess DriverReviver.exe
- '%TEMP%\RarSFX0\NIRCMD.EXE' killprocess KillRevDrProcesses.exe
- '%TEMP%\RarSFX0\NIRCMD.EXE' killprocess Require%USERNAME%.exe
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s lnkfixvista.reg
- '%WINDIR%\regedit.exe' /s lnkfixw7.reg
- '<SYSTEM32>\wscript.exe' "%TEMP%\RarSFX0\GPL.vbs"
- '%WINDIR%\regedit.exe' /s linkfilefix.reg
- '<SYSTEM32>\wscript.exe' "%TEMP%\RarSFX0\Hide.vbs"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\x.bat" "
- '%WINDIR%\regedit.exe' /s IEStartPage.reg
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\lnkfixw7.reg
- %TEMP%\RarSFX0\zone-it.com.url
- %TEMP%\RarSFX0\linkfilefix.reg
- %TEMP%\RarSFX0\lnkfixvista.reg
- %TEMP%\RarSFX0\Hide64.vbs
- %PROGRAM_FILES%\ReviverSoft\Driver Reviver\badpstray.exe
- %TEMP%\RarSFX0\GPL.vbs
- %TEMP%\RarSFX0\Hide.vbs
- %TEMP%\RarSFX0\IEStartPage.reg
- %TEMP%\RarSFX0\zone-it.com.nfo
- %TEMP%\RarSFX0\x.bat
- %TEMP%\RarSFX0\FiLE_iD.DiZ
- %TEMP%\RarSFX0\Readme.vbs
- %TEMP%\RarSFX0\RUN.exe
- %TEMP%\RarSFX0\XenoCoder.exe
- %TEMP%\RarSFX0\z.bat
- %TEMP%\RarSFX0\NIRCMD.EXE
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
