Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}] 'Exec' = 'http://assistant.3721.com/clean1.htm'
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}] 'Exec' = 'http://assistant.3721.com/security1.htm'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'CnsMin' = 'Rundll32.exe %WINDIR%\Downloaded Program Files\CnsMin.dll,Rundll32'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] '{B83FC273-3522-4CC6-92EC-75CC86678DA4}' = ''
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}] 'Exec' = 'http://assistant.3721.com/index.htm'
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{5DA5CC16-90A8-4c78-AB5E-596BAEDD1289}] 'Exec' = 'http://sms.3721.com/ie/index.htm'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\instA.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' %WINDIR%\Downloaded Program Files\CnsMin.dll,Rundll32
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\mysystem.dll
- %WINDIR%\Downloaded Program Files\CnsMin.dll
- %TEMP%\instA.dll
- %TEMP%\instA.exe
- %TEMP%\instA.tmp
Удаляет следующие файлы:
- %TEMP%\instA.dll
- %TEMP%\instA.tmp
- %WINDIR%\mysystem.dll
Другое:
Ищет следующие окна:
- ClassName: 'UpdShClass' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
