Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 'Manundoc' = '{81382A34-84C6-4852-9B3D-03EAF4C070B6}'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\System Event Dispatcher] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\sgvrfy32.exe' -i
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\svrltmgr.dll
- <SYSTEM32>\vdorctrl.dll
- <SYSTEM32>\nmcpusym.dll
- <SYSTEM32>\sgvrfy32.exe
- <SYSTEM32>\cmproxfr.dll
- <SYSTEM32>\svrltwp.dll
- %TEMP%\msvxrsc.dll
- %TEMP%\UUU1.tmp
- %TEMP%\UUU2.tmp
- %TEMP%\UUU3.tmp
- <SYSTEM32>\wzodlg32.dll
Удаляет следующие файлы:
- %TEMP%\UUU3.tmp
- %TEMP%\msvxrsc.dll
- %TEMP%\UUU1.tmp
- %TEMP%\UUU2.tmp
