Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'itlchws' = '<SYSTEM32>\itlchws.bat'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'uxigvy' = '<SYSTEM32>\uxigvy.bat'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ofwdxfc' = '<SYSTEM32>\ofwdxfc.bat'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'ffjqaaixl' = '<SYSTEM32>\ffjqaaixl.bat'
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\taskmgr.exe файлом <SYSTEM32>\dllcache\taskmgr.exe.new
- <SYSTEM32>\taskmgr.exe файлом <SYSTEM32>\taskmgr.exe.new
Заражает следующие исполняемые файлы:
- <SYSTEM32>\dllcache\taskmgr.exe.new
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Компонент восстановления системы (SR)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\My Documents\Downloads\README!!!.TXT
- %HOMEPATH%\My Documents\README!!!.TXT
- <SYSTEM32>\uxigvy.bat
- %HOMEPATH%\My Documents\My Music\README!!!.TXT
- %HOMEPATH%\Desktop\README!!!.TXT
- %HOMEPATH%\My Documents\My Received Files\README!!!.TXT
- %HOMEPATH%\My Documents\My Pictures\README!!!.TXT
- <SYSTEM32>\ffjqaaixl.exe
- <SYSTEM32>\ofwdxfc.bat
- <SYSTEM32>\ofwdxfc.exe
- <SYSTEM32>\ffjqaaixl.bat
- <SYSTEM32>\uxigvy.exe
- <SYSTEM32>\itlchws.bat
- <SYSTEM32>\itlchws.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\itlchws.exe
- <SYSTEM32>\uxigvy.exe
- <SYSTEM32>\ofwdxfc.exe
- <SYSTEM32>\ffjqaaixl.exe
Перемещает следующие системные файлы:
- <SYSTEM32>\taskmgr.exe в <SYSTEM32>\ximxxxpof.dll
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
