Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Microsoft Help Center] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <Полный путь к вирусу>
- %WINDIR%\Microsoft Help\MsHelpCenter.exe -d <Текущая директория>\<Имя вируса>.rar
Изменения в файловой системе:
Создает следующие файлы:
- <Полный путь к вирусу>
- %WINDIR%\Microsoft Help\RCX5.tmp
- <Текущая директория>\MsHelpCenter.pdb
- <Текущая директория>\PDF Password Remover 3.1 Portable by LP\Registry.rw.tvr.lck.USER-4BB09A9C02.ffffffffb2c
- <Текущая директория>\PDF Password Remover 3.1 Portable by LP\Registry.tlog
- <Текущая директория>\PDF Password Remover 3.1 Portable by LP\Registry.rw.tvr.transact
- <Текущая директория>\PDF Password Remover 3.1 Portable by LP\Registry.rw.tvr
- %WINDIR%\Microsoft Help\RCX4.tmp
- %WINDIR%\Microsoft Help\_desktop.ini
- %WINDIR%\Microsoft Help\RCX1.tmp
- %WINDIR%\Microsoft Help\thumbcache.db
- %WINDIR%\Microsoft Help\RCX2.tmp
- %WINDIR%\Microsoft Help\MsHelpCenter.exe
- %WINDIR%\Microsoft Help\RCX3.tmp
- %WINDIR%\Microsoft Help\MsHelpCenter.idx
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\MsHelpCenter.pdb
- %WINDIR%\Microsoft Help\_desktop.ini
- %WINDIR%\Microsoft Help\thumbcache.db
Удаляет следующие файлы:
- %WINDIR%\Microsoft Help\MsHelpCenter.exe
- <Текущая директория>\MsHelpCenter.pdb
- %WINDIR%\Microsoft Help\MsHelpCenter.idx
- %WINDIR%\Microsoft Help\thumbcache.db
- %WINDIR%\Microsoft Help\_desktop.ini
Самоперемещается:
- из <Полный путь к вирусу> в <Текущая директория>\<Имя вируса>.rar
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
