Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ldsrv' = '<SYSTEM32>\load32.exe'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\trjsrv.job
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add HKLM\software\microsoft\windows\currentversion\run /v ldsrv /d "<SYSTEM32>\load32.exe" /f
- '<SYSTEM32>\schtasks.exe' /create /ru system /sc minute /mo 3 /tn trjsrv /tr %WINDIR%\system\smss.exe
- '<SYSTEM32>\schtasks.exe' /create /ru system /sc co_minutк /mo 3 /tn trjsrv /tr %WINDIR%\system\smss.exe
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Internet Explorer\wsock32.dll
- %PROGRAM_FILES%\Messenger\wsock32.dll
- %WINDIR%\wins.dll
- <SYSTEM32>\system16.dll
- <SYSTEM32>\load32.txt2
- <SYSTEM32>\load32.exe
- %PROGRAM_FILES%\Outlook Express\wsock32.dll
- <SYSTEM32>\load32.txt
- %WINDIR%\trjset.dat
- %WINDIR%\system\smss.txt
- %WINDIR%\trj.ini
- <SYSTEM32>\libeax.dll
- %WINDIR%\wins.txt
- %WINDIR%\wins.txt2
- %WINDIR%\system\smss.txt2
- %WINDIR%\system\smss.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
