Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'URTF' = '%WINDIR%\urtehfoked.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\logonui.exe' /status /shutdown
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\urtehfoked.exe
Удаляет следующие файлы:
- %WINDIR%\repair\setup.log
- %WINDIR%\repair\software
- %WINDIR%\repair\security
- %WINDIR%\repair\sam
- %WINDIR%\repair\secsetup.inf
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- <SYSTEM32>\PerfStringBackup.TMP
- %WINDIR%\TASKMAN.EXE
- %WINDIR%\repair\system
- %WINDIR%\regedit.exe
- <SYSTEM32>\regedt32.exe
- <SYSTEM32>\taskmgr.exe
- <SYSTEM32>\win.com
- %WINDIR%\win.ini
- %WINDIR%\system.ini
- %WINDIR%\repair\default
- %WINDIR%\repair\ntuser.dat
- %WINDIR%\repair\config.nt
- <SYSTEM32>\taskman.exe
- %WINDIR%\repair\autoexec.nt
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'StatusWindowClass' WindowName: ''
