Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WinFXD' = '%WINDIR%\WinFXD.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\WinFXD.exe'
- '%WINDIR%\avto.exe'
- '%WINDIR%\glav.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\685.tmp\hosts.bat" "
- '<SYSTEM32>\reg.exe' Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "WinFXD" /t REG_SZ /d "%WINDIR%\WinFXD.exe" /f
- '<SYSTEM32>\chcp.com' 1251
- '<SYSTEM32>\wermgr.exe' -queuereporting
- '<SYSTEM32>\attrib.exe' +r +s +h <DRIVERS>\etc\hosts
- '<SYSTEM32>\attrib.exe' +s +h WinFXD.exe
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\FC96.tmp\glav.bat" "
- '<SYSTEM32>\attrib.exe' +s +h avto.exe
- '<SYSTEM32>\attrib.exe' +s +h glav.exe
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1F3.tmp\avto.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\FC96.tmp\glav.bat
- %TEMP%\685.tmp\hosts.bat
- %TEMP%\1F3.tmp\avto.bat
- %WINDIR%\WinFXD.exe
- %WINDIR%\hosts
- %WINDIR%\glav.exe
- %WINDIR%\avto.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\glav.exe
- %WINDIR%\avto.exe
- %WINDIR%\WinFXD.exe
Удаляет следующие файлы:
- %TEMP%\685.tmp\hosts.bat
- %TEMP%\1F3.tmp\avto.bat
- %TEMP%\FC96.tmp\glav.bat
Изменяет файл HOSTS.
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
