Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' fldrclnr.dll,Wizard_RunDLL
- '<SYSTEM32>\cmd.exe' /c %TEMP%\rar.tmp x -y -pFZT0QvoJ!whpZ4cG -o"C:\SysBoot\" <Текущая директория>\install.tmp
- '%TEMP%\rar.tmp' x -y -pFZT0QvoJ!whpZ4cG -o"C:\SysBoot\" <Текущая директория>\install.tmp
- '%WINDIR%\explorer.exe'
- '<SYSTEM32>\cmd.exe' /c taskkill /im explorer.exe /f© <SYSTEM32>\cmmm.tmp %WINDIR%\explorer.exe /y
- '<SYSTEM32>\taskkill.exe' /im explorer.exe /f
- '<SYSTEM32>\cmd.exe' /c explorer
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- 360tray.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\proctexe.ocx.new
- <SYSTEM32>\lmrt.dll.new
- <SYSTEM32>\dllcache\proctexe.ocx.new
- <SYSTEM32>\dllcache\lmrt.dll.new
- %TEMP%\rar.tmp
- %TEMP%\aut1.tmp
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
- %WINDIR%\Fonts\InstallLog.ini
Удаляет следующие файлы:
- <SYSTEM32>\proctexe.ocx
- <SYSTEM32>\lmrt.dll
- %TEMP%\aut1.tmp
Сетевая активность:
UDP:
- DNS ASK www.ba##u.com
Другое:
Ищет следующие окна:
- ClassName: 'OleMainThreadWndClass' WindowName: ''
- ClassName: 'SystemTray_Main' WindowName: ''
- ClassName: 'CSCHiddenWindow' WindowName: ''
- ClassName: 'BaseBar' WindowName: 'ChanApp'
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Proxy Desktop' WindowName: ''
