Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2559a1f6-21d7-11d4-bdaf-00c04f60b9f0}] 'Exec' = 'http://www.99z.com/?1'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\ping.exe -n 2 127.0.1
- <SYSTEM32>\regini.exe "C:\regset.ini"
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut9.tmp
- %TEMP%\autA.tmp
- %TEMP%\autB.tmp
- %TEMP%\aut7.tmp
- %HOMEPATH%\Favorites\美眉秀秀 - 女人知识的天堂.url
- %TEMP%\aut8.tmp
- %TEMP%\autE.tmp
- %WINDIR%\Web\printers\images\bian.ico
- C:\regset.ini
- %TEMP%\autC.tmp
- %TEMP%\autD.tmp
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
- %HOMEPATH%\Favorites\GhostXP系统盘、软件尽在XP系统下载乐园.url
- %TEMP%\aut3.tmp
- %HOMEPATH%\Favorites\XP之家 - 主题,XP系统下载,win7系统下载基地.url
- %TEMP%\aut1.tmp
- %HOMEPATH%\Favorites\2535.Cn网址导航 新一代绿色安全网站指引.url
- %TEMP%\aut2.tmp
- %HOMEPATH%\Favorites\系统下载之家 - XP系统之家,win7之家,Windows7系统,XP系统下载网.url
- %TEMP%\aut6.tmp
- %HOMEPATH%\Favorites\小游戏之家 - 绿色安全小游戏网.url
- %TEMP%\aut4.tmp
- %HOMEPATH%\Favorites\第九软件网 - 绿色免费软件下载家园.url
- %TEMP%\aut5.tmp
Удаляет следующие файлы:
- %TEMP%\autB.tmp
- %TEMP%\autA.tmp
- %TEMP%\aut9.tmp
- %TEMP%\autC.tmp
- C:\regset.ini
- %TEMP%\autE.tmp
- %TEMP%\autD.tmp
- %TEMP%\aut8.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut4.tmp
- %TEMP%\aut7.tmp
- %TEMP%\aut6.tmp
- %TEMP%\aut5.tmp
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'CicLoaderWndClass' WindowName: ''
