Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{10954C80-4F0F-11d3-B17C-00C0DFE39736}] 'Exec' = 'http://www.sg96.cn/?88888888'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\SuNTech\SuNTech.exe
Запускает на исполнение:
- <SYSTEM32>\bootcfg.exe /delete /id 5
- <SYSTEM32>\bootcfg.exe /delete /id 6
- <SYSTEM32>\bootcfg.exe /delete /id 7
- <SYSTEM32>\bootcfg.exe /delete /id 4
- <SYSTEM32>\rundll32.exe shell32.dll,Activate_RunDLL
- <SYSTEM32>\bootcfg.exe /timeout 3
- <SYSTEM32>\bootcfg.exe /delete /id 3
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'Icon' = '<SYSTEM32>\dllcache\S1.ico#0'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'DisplayName' = '^_^ 上高尚网电脑 *** 0795-2516681 ***'
- [<HKCU>\Software\Microsoft\Internet Explorer\Main] 'Window Title' = '畅快上网+++就选尚网 * Sg96.cN*2516681'
Принудительно разрешает автозапуск со съемных носителей.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\SuNTech\SuNTech.exe
- <SYSTEM32>\dllcache\S1.ico
- <SYSTEM32>\dllcache\W1.ico
- <SYSTEM32>\oeminfo.ini
- <SYSTEM32>\oemlogo.bmp
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %WINDIR%\Boot.bmp
- %TEMP%\SuNTech\oeminfo.ini
- %PROGRAM_FILES%\SunTech\Desktopoem.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\Boot.bmp
- <SYSTEM32>\dllcache\W1.ico
- <SYSTEM32>\dllcache\S1.ico
Удаляет следующие файлы:
- %TEMP%\$inst\temp_0.tmp
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
