Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinStart' = '<SYSTEM32>\\8887.exe'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\wscript.exe C:\0383272.vbs
Завершает или пытается завершить
следующие пользовательские процессы:
- AVP32.EXE
- Drwebupw.exe
- ccapp.exe
- AVPM.EXE
- AVPCC.EXE
- nod32.exe
- Drweb32w.exe
- smc.exe
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\Microsoft Shared\KAV60.exe
- %CommonProgramFiles%\Microsoft Shared\Madonna_with_britneypussy.avi.exe
- %CommonProgramFiles%\Microsoft Shared\Madonna_13years.jpg.exe
- %CommonProgramFiles%\Microsoft Shared\WorldDisney_teens.exe
- %CommonProgramFiles%\Microsoft Shared\MTVMusicAwards2004_complete.exe
- %CommonProgramFiles%\Microsoft Shared\WindowsLongHornBETA1.exe
- %CommonProgramFiles%\Microsoft Shared\Kaspersky_weird_movie.mpeg.exe
- <SYSTEM32>\93756.tmp
- C:\0383272.vbs
- <SYSTEM32>\8887.exe
- %CommonProgramFiles%\Microsoft Shared\TDS-4.exe
- %CommonProgramFiles%\Microsoft Shared\LooknStop30.exe
- %CommonProgramFiles%\Microsoft Shared\NOD32_3.0.exe
Другое:
Ищет следующие окна:
- ClassName: 'TrayNotifyWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: '' WindowName: '<Полный путь к вирусу>'
- ClassName: 'Shell_TrayWnd' WindowName: ''
