Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'EASClient' = '"%ProgramFiles%\ZANTAZ\EAS Client\easclient.exe"'
- [<HKLM>\SOFTWARE\Classes\easfile\shell\Open\command] '' = '"%ProgramFiles%\ZANTAZ\EAS Client\easclient.exe" %1'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\PrismXL] 'ImagePath' = '%CommonProgramFiles%\New Boundary\PrismXL\PRISMXL.SYS'
- [<HKLM>\SYSTEM\ControlSet001\Services\PrismXL] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '%CommonProgramFiles%\New Boundary\PrismXL\PRISMXL.SYS'
Изменения в файловой системе:
Создает следующие файлы:
- %ProgramFiles%\ZANTAZ\EAS Client\unicows.dll
- %ProgramFiles%\ZANTAZ\EAS Client\resfiles\1033\easclient.chm
- <SYSTEM32>\easfa.dll
- <SYSTEM32>\zcli.dll
- <SYSTEM32>\zcache.dll
- %ProgramFiles%\ZANTAZ\EAS Client\resfiles\1031\easclient.chm
- %ProgramFiles%\ZANTAZ\EAS Client\easclient.exe
- %ProgramFiles%\Microsoft Office\OFFICE11\ADDINS\easext.ecf
- %ProgramFiles%\ZANTAZ\EAS Client\EASCOMPRESS.dll
- %ProgramFiles%\ZANTAZ\EAS Client\FasSearch.exe
- %ProgramFiles%\ZANTAZ\EAS Client\easext.dll
- %WINDIR%\Installer\{AC5126E8-28A4-483C-83BE-F3E439EC59D6}\NewShortcut3.exe
- %WINDIR%\Installer\{AC5126E8-28A4-483C-83BE-F3E439EC59D6}\NewShortcut2.exe
- %ALLUSERSPROFILE%\Start Menu\Programs\ZANTAZ\EAS Client.lnk
- %WINDIR%\PICTAKER.LOG
- %ALLUSERSPROFILE%\Start Menu\Programs\ZANTAZ\EAS for Files Search.lnk
- %WINDIR%\Installer\{AC5126E8-28A4-483C-83BE-F3E439EC59D6}\NewShortcut1.exe
- %WINDIR%\eas.ini
- <SYSTEM32>\zzip.dll
- %WINDIR%\Installer\5a79a75.msi
- %WINDIR%\Installer\{AC5126E8-28A4-483C-83BE-F3E439EC59D6}\ARPPRODUCTICON.exe
- %WINDIR%\Installer\{AC5126E8-28A4-483C-83BE-F3E439EC59D6}\_48635076_3FF7_4AC4_992B_527FC28BEBA2
- %ProgramFiles%\Altiris\Altiris Agent\Tasks\{D7922896-CEE5-4B2D-86BF-46ABF390568B}.xml
- %ProgramFiles%\Altiris\Altiris Agent\PackageDownload\{7B3D9240-6943-4776-A010-E86B192C5C9A}\package.xml
- %ProgramFiles%\Altiris\Altiris Agent\Logs\agent.log
- %ProgramFiles%\Altiris\Altiris Agent\PackageDownload\{7B3D9240-6943-4776-A010-E86B192C5C9A}\snapshot.xml
- %ProgramFiles%\Altiris\Altiris Agent\Software Delivery\AeXSWDPolicy.xml
- %ProgramFiles%\Altiris\Altiris Agent\Queue\{3E118974-6A06-4D12-BDE9-46AB8DEC208B}
- %ProgramFiles%\Altiris\Altiris Agent\Client Policies\DCALTNS01.xml
- %CommonProgramFiles%\New Boundary\PrismXL\PRISMXL.SYS
- %TEMP%\PRISMXL.SYS
- %ALLUSERSPROFILE%\Application Data\Prism Pack\UNAPPLY\<Имя вируса>.PWR
- %ProgramFiles%\Altiris\Altiris Agent\AeXProcessList.txt
- %ALLUSERSPROFILE%\Application Data\Prism Pack\UNAPPLY\<Имя вируса> 1.PWR
- %ProgramFiles%\Altiris\Altiris Agent\Tasks\{A0BAB810-E1DE-4A49-B82E-D0A34FF2B3EE}.xml
- %ProgramFiles%\Altiris\Altiris Agent\Tasks\{6408921E-3536-45F2-A657-D0EDF5403BDF}.xml
- %ProgramFiles%\Altiris\Altiris Agent\Tasks\{A8839BCE-E926-4979-BF9F-1A13769F9D43}.xml
- %ProgramFiles%\Altiris\Altiris Agent\Tasks\{B017B8D1-12AA-4719-B942-5ACB231D393A}.xml
- %ProgramFiles%\Altiris\Altiris Agent\Tasks\{AF0006DE-31A5-44AD-A611-F4544AF47E6F}.xml
- %ProgramFiles%\Altiris\Altiris Agent\Tasks\{5DC715E8-A9D2-4800-A06A-B3F1961A620D}.xml
- %ProgramFiles%\Altiris\Altiris Agent\Software Delivery\{413C69D4-238D-4ED2-8B12-503956A673A1}\package.xml
- %ProgramFiles%\Altiris\Altiris Agent\Software Delivery\{01B54EB5-3679-4C73-9E10-E169D5A5EC59}\package.xml
- %ProgramFiles%\Altiris\Altiris Agent\Software Delivery\{5B686441-1F6C-4A77-99DD-7EBDE9F6479D}\package.xml
- %ProgramFiles%\Altiris\Altiris Agent\Tasks\{4A1B0C7A-7752-485A-BED7-AE49991235E5}.xml
- %ProgramFiles%\Altiris\Altiris Agent\Software Delivery\{E057B41A-8A62-489B-8CAC-E7E78FB0B03C}\package.xml
Удаляет следующие файлы:
- %ALLUSERSPROFILE%\Application Data\Prism Pack\UNAPPLY\<Имя вируса> 1.PWR
- %ALLUSERSPROFILE%\Application Data\Prism Pack\UNAPPLY\<Имя вируса>.PWR
- %TEMP%\PRISMXL.SYS
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
