Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'rundll32_17435_toolbar' = '%TEMP%\1.tmp\destructor.bat'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\destructor.bat
Изменяет следующие исполняемые системные файлы:
- %WINDIR%\$NtUninstallKB942288-v3$\msihnd.dll
- %WINDIR%\$NtUninstallKB942288-v3$\msimsg.dll
- %WINDIR%\$NtUninstallKB942288-v3$\msi.dll
- %WINDIR%\$NtUninstallKB942288-v3$\msiexec.exe
- %WINDIR%\$NtUninstallKB942288-v3$\msisip.dll
- %WINDIR%\$NtUninstallWIC$\spuninst\spuninst.exe
- %WINDIR%\$NtUninstallWIC$\spuninst\updspapi.dll
- %WINDIR%\$NtUninstallKB942288-v3$\spuninst\spuninst.exe
- %WINDIR%\$NtUninstallKB942288-v3$\spuninst\updspapi.dll
- %WINDIR%\winhlp32.exe
- %WINDIR%\regedit.exe
- %WINDIR%\sfk.exe
- %WINDIR%\hh.exe
- %WINDIR%\NOTEPAD.EXE
- %WINDIR%\sleep.exe
- %WINDIR%\twunk_32.exe
- %WINDIR%\vmmreg32.dll
- %WINDIR%\TASKMAN.EXE
- %WINDIR%\twain_32.dll
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\destructor.bat
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\reg.exe' add "hklm\Software\Microsoft\Windows\CurrentVersion\Run" /v "rundll32_17435_toolbar" /t "REG_SZ" /d "%TEMP%\1.tmp\destructor.bat" /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\destructor.bat""
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Resources\destructor.bat
- %WINDIR%\repair\destructor.bat
- %WINDIR%\Registration\destructor.bat
- %WINDIR%\security\destructor.bat
- %WINDIR%\Santa
- %WINDIR%\River
- %WINDIR%\Prairie
- %WINDIR%\PeerNet\destructor.bat
- %WINDIR%\pchealth\destructor.bat
- %WINDIR%\pss\destructor.bat
- %WINDIR%\Provisioning\destructor.bat
- %WINDIR%\Prefetch\destructor.bat
- %WINDIR%\Web\destructor.bat
- %WINDIR%\twain_32\destructor.bat
- %WINDIR%\Temp\destructor.bat
- %WINDIR%\$NtUninstallWIC$\spuninst\destructor.bat
- %WINDIR%\$NtUninstallKB942288-v3$\spuninst\destructor.bat
- %WINDIR%\WinSxS\destructor.bat
- %WINDIR%\srchasst\destructor.bat
- %WINDIR%\SoftwareDistribution\destructor.bat
- %WINDIR%\Soap
- <Служебный элемент>
- <SYSTEM32>\destructor.bat
- %WINDIR%\system\destructor.bat
- %WINDIR%\Offline
- %WINDIR%\Config\destructor.bat
- %WINDIR%\Coffee
- %WINDIR%\Blue
- %WINDIR%\Debug\destructor.bat
- %WINDIR%\Cursors\destructor.bat
- %WINDIR%\Connection
- C:\autorun.inf
- C:\destructor.bat
- %TEMP%\1.tmp\destructor.bat
- %WINDIR%\AppPatch\destructor.bat
- %WINDIR%\addins\destructor.bat
- <Текущая директория>\PathHost
- %WINDIR%\msagent\destructor.bat
- %WINDIR%\Microsoft.NET\destructor.bat
- %WINDIR%\Media\destructor.bat
- %WINDIR%\ocx\destructor.bat
- %WINDIR%\mui\destructor.bat
- %WINDIR%\msapps\destructor.bat
- %WINDIR%\Gone
- %WINDIR%\ehome\destructor.bat
- %WINDIR%\Driver
- %WINDIR%\java\destructor.bat
- %WINDIR%\ime\destructor.bat
- %WINDIR%\Help\destructor.bat
Удаляет следующие файлы:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
