Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] '8288' = '%CommonProgramFiles%\Microsoft Shared\Microsoft\Office.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\ashampoo_burning_studio_11.0.3.exe'
Запускает на исполнение:
- '%WINDIR%\Regedit.exe' /S "<Имя диска съемного носителя>:\1.reg"
- '<SYSTEM32>\cacls.exe' "%CommonProgramFiles%\Microsoft Shared\Microsoft" /d everyone /e
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\microsoft shared\apii.txt
- %CommonProgramFiles%\1.bat
- \Device\HarddiskVolume3\1.reg
- %PROGRAM_FILES%\ashampoo_burning_studio_11.0.3.exe
- %CommonProgramFiles%\microsoft shared\Microsoft\Office.exe
- %CommonProgramFiles%\microsoft shared\Microsoft\api.txt
Удаляет следующие файлы:
- \Device\HarddiskVolume3\1.reg
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
