Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'Virtual Java rn' = 'wintsv.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'Explorer Options3' = ''
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\wnksyt.exe' a
- '%TEMP%\NOD32.exe'
- '%TEMP%\Binder.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wnksyt.exe
- %TEMP%\NOD32.exe
- %TEMP%\eguiUpdate.dll
- <SYSTEM32>\vandeft.exe
- <SYSTEM32>\atipict.exe
- <SYSTEM32>\wintsv.exe
- %TEMP%\eguiDmon.dll
- %TEMP%\eguiAmon.dll
- %TEMP%\Binder.exe
- %TEMP%\eguiSmon.dll
- %TEMP%\eguiScan.dll
- %TEMP%\eguiEmon.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\atipict.exe
- <SYSTEM32>\vandeft.exe
- <SYSTEM32>\wnksyt.exe
- <SYSTEM32>\wintsv.exe
Удаляет следующие файлы:
- <SYSTEM32>\atipict.exe
- <SYSTEM32>\vandeft.exe
- <SYSTEM32>\wnksyt.exe
- <SYSTEM32>\wintsv.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'ESET Client Frame' WindowName: ''
