Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'chpk.exe' = 'C:/WINDOWS/system32/chpk.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\CHANDU_PANKAJ.exe
- <Имя диска съемного носителя>:\explr.bat
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\attrib.exe +h +s Autorun.inf
- <SYSTEM32>\attrib.exe +h +s explr.bat
- %WINDIR%\regedit.exe /S a.REG
- <SYSTEM32>\attrib.exe -h -s chpk.exe
- <SYSTEM32>\attrib.exe -h -s Autorun.inf
- <SYSTEM32>\attrib.exe +h +s chpk.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\CHANDU_PANKAJ.exe
- C:\autorun.inf
- C:\a.reg
- %TEMP%\~1.bat
- <LS_APPDATA>\CHANDU_PANKAJ.exe
- C:\explr.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\explr.bat
- C:\explr.bat
- %TEMP%\~1.bat
- C:\autorun.inf
Удаляет следующие файлы:
- C:\a.reg
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
