Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\wbem\wmiadap.exe /R /T
- <SYSTEM32>\ping.exe 127.0.0.1 -n 5
- %WINDIR%\regedit.exe /s <LS_APPDATA>\2.reg
- %WINDIR%\regedit.exe /s <LS_APPDATA>\1.reg
- <SYSTEM32>\sc.exe config ALG start= DISABLED
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d http://www.ha##23.com /f
- <SYSTEM32>\ping.exe 127.0.0.1 -n 2
- %WINDIR%\regedit.exe /s <LS_APPDATA>\juyuwang.reg
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t reg_sz /d http://www.ha##23.com /f
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\18.reg
- <LS_APPDATA>\19.reg
- <LS_APPDATA>\20.REG
- <LS_APPDATA>\15.REG
- <LS_APPDATA>\16.reg
- <LS_APPDATA>\17.REG
- <LS_APPDATA>\21.reg
- <LS_APPDATA>\juyuwang.reg
- %TEMP%\bt4710.bat
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini
- <LS_APPDATA>\22.REG
- <LS_APPDATA>\23.reg
- <LS_APPDATA>\24.reg
- <LS_APPDATA>\14.REG
- <LS_APPDATA>\4.REG
- <LS_APPDATA>\5.REG
- <LS_APPDATA>\6.REG
- <LS_APPDATA>\1.reg
- <LS_APPDATA>\2.REG
- <LS_APPDATA>\3.REG
- <LS_APPDATA>\7.REG
- <LS_APPDATA>\11.REG
- <LS_APPDATA>\12.REG
- <LS_APPDATA>\13.REG
- <LS_APPDATA>\8.REG
- <LS_APPDATA>\9.REG
- <LS_APPDATA>\10.reg
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\bt4710.bat
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
