Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\sdfkbLO] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\gornpK.exe
- %PROGRAM_FILES%\invspt.exe
Запускает на исполнение:
- <SYSTEM32>\ping.exe -n 10 127.0.0.1
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d "http://www.32##11.cn/hao123.com.html" /f
- <SYSTEM32>\cmd.exe /c ""%PROGRAM_FILES%\pasvmp.bat" "
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- C:\МФ±¦99РЕУюµкЖМ№єОпНЖјц.url
- %HOMEPATH%\Favorites\МФ±¦99РЕУюµкЖМ№єОпНЖјц.url
- %HOMEPATH%\Start Menu\МФ±¦99РЕУюµкЖМ№єОпНЖјц.url
- <SYSTEM32>\gornpK.exe
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\МФ±¦99РЕУюµкЖМ№єОпНЖјц.url
- %HOMEPATH%\My Documents\МФ±¦99РЕУюµкЖМ№єОпНЖјц.url
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\7.tmp
- %TEMP%\$inst\2.tmp
- %HOMEPATH%\Desktop\МФ±¦99РЕУюµкЖМ№єОпНЖјц.url
- %PROGRAM_FILES%\invspt.exe
- %PROGRAM_FILES%\pasvmp.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\gornpK.exe
Удаляет следующие файлы:
- %TEMP%\$inst\7.tmp
- %PROGRAM_FILES%\invspt.exe
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
