Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'sys32' = '<SYSTEM32>\sysx32.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <Текущая директория>\_pl.txt
- <SYSTEM32>\sysx32.exe /scan
- <Текущая директория>\pl.txt
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\Microsoft Shared\MSInfo\msinfo32.exe.tmp
- %CommonProgramFiles%\Microsoft Shared\DW\DWTRIG20.EXE.tmp
- %CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE.tmp
- %PROGRAM_FILES%\FireFox\firefox.exe.tmp
- %PROGRAM_FILES%\FireFox\crashreporter.exe.tmp
- %CommonProgramFiles%\Microsoft Shared\Speech\sapisvr.exe.tmp
- C:\Far\Plugins\ffpd.exe.tmp
- <Текущая директория>\_pl.txt
- <SYSTEM32>\sysx32.exe
- <Текущая директория>\pl.txt
- C:\Far\UnInstall.exe.tmp
- C:\Far\Far.exe.tmp
- <Полный путь к вирусу>.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\_pl.txt
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
