Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '═°╥│╖└╢╛' = '"<SYSTEM32>\┐к╞Ї═°╥│╖└╢╛.exe"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "═°╥│╖└╢╛" /t REG_SZ /d "\"<SYSTEM32>\┐к╞Ї═°╥│╖└╢╛.exe\"" /f
- '<SYSTEM32>\attrib.exe' ┐к╞Ї═°╥│╖└╢╛.exe +s +h +r
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\microsoft\internet explorer\main" /v "start page" /t REG_SZ /d "http://www.sj#s.cn" /f
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\Software\microsoft\internet explorer\main" /v "start page" /t REG_SZ /d "http://www.sj#s.cn" /f
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\Software\microsoft\internet explorer\main" /v "Default_Page_URL" /t REG_SZ /d "http://www.sj#s.cn" /f
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\~1.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\~1.bat
Удаляет следующие файлы:
- %TEMP%\~1.bat
