Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Update' = 'wscript.exe //B "%TEMP%\Update.vbs"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Update' = 'wscript.exe //B "%TEMP%\Update.vbs"'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Update.vbs
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\Update.vbs
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\NivraC\NivraC.exe'
- '%HOMEPATH%\My DocumentsUpdate.exe'
- '%HOMEPATH%\Local Settings\TempCheat_Engine.exe'
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' //B "%TEMP%\Update.vbs"
- '<SYSTEM32>\wscript.exe' "C:\Update.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- C:\NivraC\ico\02.png
- C:\NivraC\ico\01.png
- C:\NivraC\ico\03.png
- C:\NivraC\ico\05.png
- C:\NivraC\ico\04.png
- C:\NivraC\Smily\loading.gif
- C:\NivraC\Smily\96.gif
- C:\NivraC\Smily\95.gif
- C:\NivraC\Smily\97.gif
- C:\NivraC\Smily\99.gif
- C:\NivraC\Smily\98.gif
- C:\NivraC\ico\13.png
- C:\NivraC\ico\12.png
- C:\NivraC\ico\14.png
- C:\NivraC\ico\16.png
- C:\NivraC\ico\15.png
- C:\NivraC\ico\11.png
- C:\NivraC\ico\07.png
- C:\NivraC\ico\06.png
- C:\NivraC\ico\08.png
- C:\NivraC\ico\10.png
- C:\NivraC\ico\09.png
- C:\NivraC\Smily\94.gif
- C:\NivraC\Smily\80.gif
- C:\NivraC\Smily\8.gif
- C:\NivraC\Smily\81.gif
- C:\NivraC\Smily\83.gif
- C:\NivraC\Smily\82.gif
- C:\NivraC\Smily\79.gif
- %TEMP%\Update.vbs
- C:\NivraC\Smily\75.gif
- C:\NivraC\Smily\76.gif
- C:\NivraC\Smily\78.gif
- C:\NivraC\Smily\77.gif
- C:\NivraC\Smily\90.gif
- C:\NivraC\Smily\9.gif
- C:\NivraC\Smily\91.gif
- C:\NivraC\Smily\93.gif
- C:\NivraC\Smily\92.gif
- C:\NivraC\Smily\89.gif
- C:\NivraC\Smily\85.gif
- C:\NivraC\Smily\84.gif
- C:\NivraC\Smily\86.gif
- C:\NivraC\Smily\88.gif
- C:\NivraC\Smily\87.gif
- C:\NivraC\ico\47.png
- C:\NivraC\ico\46.png
- C:\NivraC\ico\48.png
- C:\NivraC\ico\50.png
- C:\NivraC\ico\49.png
- C:\NivraC\ico\45.png
- C:\NivraC\ico\41.png
- C:\NivraC\ico\40.png
- C:\NivraC\ico\42.png
- C:\NivraC\ico\44.png
- C:\NivraC\ico\43.png
- C:\NivraC\Smily\Logo.png
- C:\NivraC\ico\in.png
- C:\NivraC\ico\out.png
- C:\NivraC\NivraC.log.nol
- %HOMEPATH%\Desktop\NivraC.lnk
- C:\NivraC\Smily\Ic.png
- C:\NivraC\ico\52.png
- C:\NivraC\ico\51.png
- C:\NivraC\ico\53.png
- C:\NivraC\ico\alert.png
- C:\NivraC\ico\54.png
- C:\NivraC\ico\39.png
- C:\NivraC\ico\24.png
- C:\NivraC\ico\23.png
- C:\NivraC\ico\25.png
- C:\NivraC\ico\27.png
- C:\NivraC\ico\26.png
- C:\NivraC\ico\22.png
- C:\NivraC\ico\18.png
- C:\NivraC\ico\17.png
- C:\NivraC\ico\19.png
- C:\NivraC\ico\21.png
- C:\NivraC\ico\20.png
- C:\NivraC\ico\35.png
- C:\NivraC\ico\34.png
- C:\NivraC\ico\36.png
- C:\NivraC\ico\38.png
- C:\NivraC\ico\37.png
- C:\NivraC\ico\33.png
- C:\NivraC\ico\29.png
- C:\NivraC\ico\28.png
- C:\NivraC\ico\30.png
- C:\NivraC\ico\32.png
- C:\NivraC\ico\31.png
- C:\NivraC\Smily\74.gif
- C:\NivraC\Smily\2.gif
- C:\NivraC\Smily\19.gif
- C:\NivraC\Smily\20.gif
- C:\NivraC\Smily\22.gif
- C:\NivraC\Smily\21.gif
- C:\NivraC\Smily\18.gif
- C:\NivraC\Smily\14.gif
- C:\NivraC\Smily\13.gif
- C:\NivraC\Smily\15.gif
- C:\NivraC\Smily\17.gif
- C:\NivraC\Smily\16.gif
- C:\NivraC\Smily\3.gif
- C:\NivraC\Smily\29.gif
- C:\NivraC\Smily\30.gif
- C:\NivraC\Smily\32.gif
- C:\NivraC\Smily\31.gif
- C:\NivraC\Smily\28.gif
- C:\NivraC\Smily\24.gif
- C:\NivraC\Smily\23.gif
- C:\NivraC\Smily\25.gif
- C:\NivraC\Smily\27.gif
- C:\NivraC\Smily\26.gif
- C:\NivraC\Smily\12.gif
- C:\NivraC\Skins\02 extracted.asz
- C:\NivraC\Sound\Stop.wav
- C:\NivraC\Skins\03 extracted.asz
- C:\NivraC\Skins\05 extracted.asz
- C:\NivraC\Skins\04 extracted.asz
- C:\NivraC\Sound\Start.wav
- %HOMEPATH%\My DocumentsUpdate.exe
- %HOMEPATH%\Local Settings\TempCheat_Engine.exe
- C:\Update.vbs
- C:\NivraC\Sound\error.wav
- C:\NivraC\NivraC.exe
- C:\NivraC\Smily\1.gif
- C:\NivraC\Skins\12 extracted.asz
- C:\NivraC\Smily\10.gif
- C:\NivraC\Smily\11.gif
- C:\NivraC\Smily\100.gif
- C:\NivraC\Skins\11 extracted.asz
- C:\NivraC\Skins\07 extracted.asz
- C:\NivraC\Skins\06 extracted.asz
- C:\NivraC\Skins\08 extracted.asz
- C:\NivraC\Skins\10 extracted.asz
- C:\NivraC\Skins\09 extracted.asz
- C:\NivraC\Smily\60.gif
- C:\NivraC\Smily\6.gif
- C:\NivraC\Smily\61.gif
- C:\NivraC\Smily\63.gif
- C:\NivraC\Smily\62.gif
- C:\NivraC\Smily\59.gif
- C:\NivraC\Smily\55.gif
- C:\NivraC\Smily\54.gif
- C:\NivraC\Smily\56.gif
- C:\NivraC\Smily\58.gif
- C:\NivraC\Smily\57.gif
- C:\NivraC\Smily\70.gif
- C:\NivraC\Smily\7.gif
- C:\NivraC\Smily\71.gif
- C:\NivraC\Smily\73.gif
- C:\NivraC\Smily\72.gif
- C:\NivraC\Smily\69.gif
- C:\NivraC\Smily\65.gif
- C:\NivraC\Smily\64.gif
- C:\NivraC\Smily\66.gif
- C:\NivraC\Smily\68.gif
- C:\NivraC\Smily\67.gif
- C:\NivraC\Smily\53.gif
- C:\NivraC\Smily\4.gif
- C:\NivraC\Smily\39.gif
- C:\NivraC\Smily\40.gif
- C:\NivraC\Smily\42.gif
- C:\NivraC\Smily\41.gif
- C:\NivraC\Smily\38.gif
- C:\NivraC\Smily\34.gif
- C:\NivraC\Smily\33.gif
- C:\NivraC\Smily\35.gif
- C:\NivraC\Smily\37.gif
- C:\NivraC\Smily\36.gif
- C:\NivraC\Smily\5.gif
- C:\NivraC\Smily\49.gif
- C:\NivraC\Smily\50.gif
- C:\NivraC\Smily\52.gif
- C:\NivraC\Smily\51.gif
- C:\NivraC\Smily\48.gif
- C:\NivraC\Smily\44.gif
- C:\NivraC\Smily\43.gif
- C:\NivraC\Smily\45.gif
- C:\NivraC\Smily\47.gif
- C:\NivraC\Smily\46.gif
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\Update.vbs
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
