Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя вируса>' = '%WINDIR%\system\<Имя вируса>.exe'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v ReportBootOk /t REG_SZ /d 0 /f
- <SYSTEM32>\reg.exe delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal" /f
- <SYSTEM32>\reg.exe delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network" /f
- <SYSTEM32>\cmd.exe /c c:\nosafe.bat
- <SYSTEM32>\regsvr32.exe jscript.dll /u
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\Select" /v LastKnownGood /t REG_DWORD /d 00000001 /f
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- C:\nosafe.bat
- <Текущая директория>\U.bat
- %WINDIR%\system\<Имя вируса>.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
