Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'rundll32_21905_toolbar' = '%TEMP%\1.tmp\dracula.bat'
Изменяет следующие исполняемые системные файлы:
- %WINDIR%\$NtUninstallKB942288-v3$\msihnd.dll
- %WINDIR%\$NtUninstallKB942288-v3$\msimsg.dll
- %WINDIR%\$NtUninstallKB942288-v3$\msi.dll
- %WINDIR%\$NtUninstallKB942288-v3$\msiexec.exe
- %WINDIR%\$NtUninstallKB942288-v3$\msisip.dll
- %WINDIR%\$NtUninstallWIC$\spuninst\spuninst.exe
- %WINDIR%\$NtUninstallWIC$\spuninst\updspapi.dll
- %WINDIR%\$NtUninstallKB942288-v3$\spuninst\spuninst.exe
- %WINDIR%\$NtUninstallKB942288-v3$\spuninst\updspapi.dll
- %WINDIR%\winhlp32.exe
- %WINDIR%\regedit.exe
- %WINDIR%\sfk.exe
- %WINDIR%\hh.exe
- %WINDIR%\NOTEPAD.EXE
- %WINDIR%\sleep.exe
- %WINDIR%\twunk_32.exe
- %WINDIR%\vmmreg32.dll
- %WINDIR%\TASKMAN.EXE
- %WINDIR%\twain_32.dll
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\dracula.bat
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\reg.exe' add "hklm\Software\Microsoft\Windows\CurrentVersion\Run" /v "rundll32_21905_toolbar" /t "REG_SZ" /d "%TEMP%\1.tmp\dracula.bat" /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\dracula.bat""
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Resources\dracula.bat
- %WINDIR%\repair\dracula.bat
- %WINDIR%\Registration\dracula.bat
- %WINDIR%\security\dracula.bat
- %WINDIR%\Santa
- %WINDIR%\River
- %WINDIR%\Prairie
- %WINDIR%\PeerNet\dracula.bat
- %WINDIR%\pchealth\dracula.bat
- %WINDIR%\pss\dracula.bat
- %WINDIR%\Provisioning\dracula.bat
- %WINDIR%\Prefetch\dracula.bat
- %WINDIR%\Web\dracula.bat
- %WINDIR%\twain_32\dracula.bat
- %WINDIR%\Temp\dracula.bat
- %WINDIR%\$NtUninstallWIC$\spuninst\dracula.bat
- %WINDIR%\$NtUninstallKB942288-v3$\spuninst\dracula.bat
- %WINDIR%\WinSxS\dracula.bat
- %WINDIR%\srchasst\dracula.bat
- %WINDIR%\SoftwareDistribution\dracula.bat
- %WINDIR%\Soap
- <Служебный элемент>
- <SYSTEM32>\dracula.bat
- %WINDIR%\system\dracula.bat
- %WINDIR%\Offline
- %WINDIR%\Config\dracula.bat
- %WINDIR%\Coffee
- %WINDIR%\Blue
- %WINDIR%\Debug\dracula.bat
- %WINDIR%\Cursors\dracula.bat
- %WINDIR%\Connection
- C:\autorun.inf
- C:\dracula.bat
- %TEMP%\1.tmp\dracula.bat
- %WINDIR%\AppPatch\dracula.bat
- %WINDIR%\addins\dracula.bat
- <Текущая директория>\PathHost
- %WINDIR%\msagent\dracula.bat
- %WINDIR%\Microsoft.NET\dracula.bat
- %WINDIR%\Media\dracula.bat
- %WINDIR%\ocx\dracula.bat
- %WINDIR%\mui\dracula.bat
- %WINDIR%\msapps\dracula.bat
- %WINDIR%\Gone
- %WINDIR%\ehome\dracula.bat
- %WINDIR%\Driver
- %WINDIR%\java\dracula.bat
- %WINDIR%\ime\dracula.bat
- %WINDIR%\Help\dracula.bat
Удаляет следующие файлы:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
