Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'RMPx85' = '<SYSTEM32>\Info.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' +S +H +R +A "\Info.exe"
- '<SYSTEM32>\attrib.exe' +S +H +R +A "<SYSTEM32>\Info.exe"
- '<SYSTEM32>\find.exe' /i "extra"
- '<SYSTEM32>\wbem\wmic.exe' logicaldisk get caption, description
- '<SYSTEM32>\reg.exe' DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v RMPx85 /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\BuscaArchivos2485.bat" "
- '<SYSTEM32>\attrib.exe' -S -H +R +A "\Info.exe"
- '<SYSTEM32>\reg.exe' ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v RMPx85 /t REG_SZ /d <SYSTEM32>\Info.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp2.tmp
- %TEMP%\tmp3.tmp
- %TEMP%\1.tmp\BuscaArchivos2485.bat
- <Текущая директория>\viva bolivia.jpg
Удаляет следующие файлы:
- %TEMP%\tmp2.tmp
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
