Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует главную загрузочную запись (MBR).
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\Baidu\AddressBar\ASBarBroker.exe' -RegServer
- '%WINDIR%\fixmbr\fix.exe' /drive 0 fixmbr /yes
- '%WINDIR%\fixmbr\qdal.exe'
Запускает на исполнение:
- '<SYSTEM32>\cacls.exe' %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Жф¶Ї Internet Explorer дЇААЖч.lnk /d everyone
- '%WINDIR%\regedit.exe' /s %TEMP%\qdal.reg
- '<SYSTEM32>\cacls.exe' %HOMEPATH%\Start Menu\Programs\Internet Explorer.lnk /d everyone
- '<SYSTEM32>\sc.exe' query winmgmt
- '<SYSTEM32>\cacls.exe' %ALLUSERSPROFILE%\Start Menu\Programs\Internet Explorer.lnk /d everyone
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsj8.tmp
- %PROGRAM_FILES%\Baidu\AddressBar\AddressBar_Tmp\AddressBar.dll
- %HOMEPATH%\Start Menu\Programs\Internet Explorer.lnk
- %TEMP%\aut6.tmp
- %TEMP%\aut9.tmp
- %TEMP%\qdal.reg
- %PROGRAM_FILES%\Baidu\AddressBar\AddressBar.dll
- %PROGRAM_FILES%\Baidu\AddressBar\ASBarBroker.exe
- %TEMP%\aut5.tmp
- %TEMP%\aut2.tmp
- %WINDIR%\fixmbr\fix.exe
- %TEMP%\aut1.tmp
- %TEMP%\Ot
- %TEMP%\aut4.tmp
- %ALLUSERSPROFILE%\Start Menu\Programs\Internet Explorer.lnk
- %TEMP%\aut3.tmp
- %WINDIR%\fixmbr\qdal.exe
Удаляет следующие файлы:
- %TEMP%\aut6.tmp
- %TEMP%\aut5.tmp
- %WINDIR%\fixmbr\fix.exe
- %TEMP%\qdal.reg
- %TEMP%\aut9.tmp
- %TEMP%\Ot
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut4.tmp
- %TEMP%\aut3.tmp
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
