Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows' = '%WINDIR%\SVICHOST.exe'
- [<HKLM>\SOFTWARE\Classes\irc\Shell\open\command] '' = '"%WINDIR%\SVICHOST.exe" -noconnect'
- [<HKLM>\SOFTWARE\Classes\ChatFile\Shell\open\command] '' = '"%WINDIR%\SVICHOST.exe" -noconnect'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\SVICHOST.exe
Запускает на исполнение:
- %WINDIR%\regedit.exe /s flk23.reg
- %WINDIR%\regedit.exe /s 1533.reg
- %WINDIR%\msagent\agentsvr.exe -Embedding
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\SVICHOST.exe
- %WINDIR%\Sfwwin32.dll
- %WINDIR%\1533.reg
- %WINDIR%\flk23.reg
- %WINDIR%\remote.ini
- %TEMP%\ci0-temp\Ahmetsonn.set
- %TEMP%\gert0.dll
- %WINDIR%\bear.txt
- %WINDIR%\nick.txt
- %WINDIR%\Mirc.ini
Удаляет следующие файлы:
- %WINDIR%\1533.reg
- %WINDIR%\flk23.reg
- %TEMP%\ci0-temp\Ahmetsonn.set
- %TEMP%\gert0.dll
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
