Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'helper.dll' = '<SYSTEM32>\rundll32.exe %PROGRAM_FILES%\3721\helper.dll,Rundll32'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\setup.exe' -x
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' %PROGRAM_FILES%\3721\helper.dll,Rundll32
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\3721\3721\assist\float.gif
- %PROGRAM_FILES%\3721\assist\assisres.dll
- %PROGRAM_FILES%\3721\assist\assist.dll
- %PROGRAM_FILES%\3721\3721\ScrBlock.dll
- %PROGRAM_FILES%\3721\3721\assist\assisres.dll
- %PROGRAM_FILES%\3721\3721\assist\assist.dll
- %PROGRAM_FILES%\3721\Notifier.dll
- %PROGRAM_FILES%\3721\ScrBlock.dll
- %PROGRAM_FILES%\3721\autolive.dll
- %PROGRAM_FILES%\3721\assist\float.gif
- %PROGRAM_FILES%\3721\cns01.dat
- %PROGRAM_FILES%\3721\Helper.dll
- %TEMP%\3721\AutoLive.dll
- %TEMP%\3721\Autolive.inf
- %TEMP%\extra.cab
- %TEMP%\setup.exe
- %TEMP%\3721\aslive.cab
- %PROGRAM_FILES%\3721\3721\Helper.dll
- %TEMP%\VXDATT.VXD
- %PROGRAM_FILES%\3721\3721\Notifier.dll
- %PROGRAM_FILES%\3721\i3721res.dat
- %PROGRAM_FILES%\3721\3721\cns01.dat
- %TEMP%\wtsto.tp3
Удаляет следующие файлы:
- %PROGRAM_FILES%\3721\3721\Notifier.dll
- %PROGRAM_FILES%\3721\3721\Helper.dll
- %PROGRAM_FILES%\3721\3721\ScrBlock.dll
- %TEMP%\3721\AutoLive.dll
- %PROGRAM_FILES%\3721\i3721res.dat
- %PROGRAM_FILES%\3721\3721\assist\assisres.dll
- %TEMP%\extra.cab
- %PROGRAM_FILES%\3721\3721\assist\assist.dll
- %PROGRAM_FILES%\3721\3721\cns01.dat
- %PROGRAM_FILES%\3721\3721\assist\float.gif
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
