Техническая информация
Для обеспечения автозапуска и распространения:
Заражает следующие исполняемые файлы:
- <Служебный элемент>
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\keywmss.exe' <Полный путь к вирусу>
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /e "%APPDATA%\titanpoker.reg" "HKEY_CURRENT_USER\Software\Titan Poker"
- '%WINDIR%\regedit.exe' /e "%APPDATA%\leonpoker.reg" "HKEY_CURRENT_USER\Software\leonpoker"
- '%WINDIR%\regedit.exe' /e "%APPDATA%\cakepoker.reg" "HKEY_CURRENT_USER\Software\Cake Poker"
- '%WINDIR%\regedit.exe' /e "%APPDATA%\tiltpoker.reg" "HKEY_CURRENT_USER\Software\Full Tilt Poker"
- '%WINDIR%\regedit.exe' /e "%APPDATA%\partypoker.reg" "HKEY_CURRENT_USER\Software\PartyGaming"
Завершает или пытается завершить
следующие пользовательские процессы:
- webmoney.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\formhistory.sqlite
- %APPDATA%\signons.sqlite
- %APPDATA%\cookies.sqlite
- %APPDATA%\webmoney.exe
- <Текущая директория>\tmp
- %APPDATA%\passes.xm
- %APPDATA%\listfiles.txt
- %APPDATA%\keywmss.exe
- %APPDATA%\set.dat
- %APPDATA%\cert8.db
- %APPDATA%\key3.db
- %APPDATA%\secmod.db
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\set.dat
Удаляет следующие файлы:
- %APPDATA%\cookies.sqlite
- %APPDATA%\cert8.db
- %APPDATA%\formhistory.sqlite
- %APPDATA%\signons.sqlite
- %APPDATA%\listfiles.txt
- <Текущая директория>\tmp
- %APPDATA%\key3.db
- %APPDATA%\secmod.db
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'MS_WINHELP' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
