Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Swap98' = 'rundll32.exe user.exe, swapmousebutton'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SwapNT' = 'rundll32 user32, SwapMouseButton'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe user32, SwapMouseButton
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\<Имя вируса>.tmp
Удаляет следующие файлы:
- %WINDIR%\Fonts\85855.fon
- %WINDIR%\Fonts\85f1257.fon
- %WINDIR%\Fonts\85s1257.fon
- %WINDIR%\Fonts\8514sysr.fon
- %WINDIR%\Fonts\8514syst.fon
- %WINDIR%\Fonts\85775.fon
- %WINDIR%\Fonts\app855.fon
- %WINDIR%\Fonts\app857.fon
- %WINDIR%\Fonts\app866.fon
- %WINDIR%\Fonts\app775.fon
- %WINDIR%\Fonts\app850.fon
- %WINDIR%\Fonts\app852.fon
- %WINDIR%\Fonts\8514sysg.fon
- %WINDIR%\Fonts\8514fixr.fon
- %WINDIR%\Fonts\8514fixt.fon
- %WINDIR%\Fonts\8514oem.fon
- %WINDIR%\Fonts\8514fix.fon
- %WINDIR%\Fonts\8514fixe.fon
- %WINDIR%\Fonts\8514fixg.fon
- %WINDIR%\Fonts\8514oemt.fon
- %WINDIR%\Fonts\8514sys.fon
- %WINDIR%\Fonts\8514syse.fon
- %WINDIR%\Fonts\8514oeme.fon
- %WINDIR%\Fonts\8514oemg.fon
- %WINDIR%\Fonts\8514oemr.fon
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
