Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RWLN] 'Startup' = 'WLEventStartup'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RWLN] 'Logon' = 'WLEventLogon'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RWLN] 'DllName' = 'RWLN.dll'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\XPSHardware] 'ImagePath' = '%WINDIR%\EhOmE\aScOn\xpsrchv.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\XPSHardware] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' delete "HKLM\SYSTEM\Hardware System\DeviceXPS" /f
- '%WINDIR%\ehome\aScOn\xpsrchv.exe' /silentinstall
- '%WINDIR%\ehome\aScOn\xpsrchv.exe' /firewall
- '<SYSTEM32>\attrib.exe' +s +h "%WINDIR%\EhOmE\aScOn"
- '%WINDIR%\ehome\aScOn\110011.exe'
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %WINDIR%\EhOmE\aScOn\353.jpg
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\EhOmE\aScOn\SystemInstall.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\ehome\aScOn\drv_set.reg
- %WINDIR%\ehome\aScOn\110011.exe
- %WINDIR%\ehome\aScOn\353.jpg
- %WINDIR%\ehome\aScOn\SystemAPI.dat
- %WINDIR%\ehome\aScOn\SystemInstall.bat
- %WINDIR%\ehome\aScOn\Russian.lg
- %WINDIR%\ehome\aScOn\xpsrchv.exe
- %WINDIR%\ehome\aScOn\webmmux.dll
- %WINDIR%\ehome\aScOn\vp8encoder.dll
- %WINDIR%\ehome\aScOn\vp8decoder.dll
- %WINDIR%\ehome\aScOn\WUDLicense.exe
- %WINDIR%\ehome\aScOn\webmvorbisencoder.dll
- %WINDIR%\ehome\aScOn\webmvorbisdecoder.dll
Другое:
Ищет следующие окна:
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
