Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ZXGWREWO' = '"C:\gld\№гБЄґп.exe" /run'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\gld.job
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Schedule] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\PolicyAgent] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' config Schedule start= auto
- '<SYSTEM32>\sc.exe' start Schedule
- '<SYSTEM32>\schtasks.exe' /create /tn gld /tr "C:\gld\╣у┴к┤я.exe /run" /sc onstart /ru system
- '<SYSTEM32>\cmd.exe' /c ""C:\INSTAL~1.BAT" "
- '<SYSTEM32>\sc.exe' config policyagent start= auto
- '<SYSTEM32>\sc.exe' start policyagent
Изменения в файловой системе:
Создает следующие файлы:
- C:\gld\~GLH0006.TMP
- C:\~GLH0005.TMP
- %WINDIR%\~GLH0004.TMP
- <Текущая директория>\INSTALL.LOG
- %HOMEPATH%\Desktop\№гБЄґпЖф¶Ї.lnk
- C:\~GLH0007.TMP
- %WINDIR%\~GLH0003.TMP
- %TEMP%\GLG4.tmp
- %TEMP%\GLK2.tmp
- %TEMP%\GLC1.tmp
- C:\gld\~GLH0002.TMP
- C:\~GLH0001.TMP
- %TEMP%\~GLH0000.TMP
Удаляет следующие файлы:
- %TEMP%\GLF5.tmp
- %TEMP%\GLC1.tmp
- %TEMP%\GLG4.tmp
- %TEMP%\GLK2.tmp
Перемещает следующие файлы:
- C:\~GLH0005.TMP в C:\№гБЄґпЖф¶Ї.bat
- %WINDIR%\~GLH0004.TMP в %WINDIR%\GSQEngine.dll
- C:\~GLH0007.TMP в C:\GSCEngine.dll
- C:\gld\~GLH0006.TMP в C:\gld\№гБЄґпЧўІб.reg
- C:\~GLH0001.TMP в C:\installSche.bat
- %TEMP%\~GLH0000.TMP в %TEMP%\GLF5.tmp
- %WINDIR%\~GLH0003.TMP в %WINDIR%\Zxgwrewo.dll
- C:\gld\~GLH0002.TMP в C:\gld\№гБЄґп.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
