Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'EXPLORER' = 'EXPL0RER.EXE'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\EXPL0RER.EXE "%WINDIR%\TEMP#01.EXE"
- %WINDIR%\TEMP#01.EXE
- %WINDIR%\TEMP$01.EXE
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'RegMonClass' WindowName: ''
- ClassName: 'FileMonClass' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\win32log.dat
- <SYSTEM32>\EXPL0RER.EXE
- <SYSTEM32>\Пн_Вер_24_2012.txt
- %WINDIR%\TEMP$01.EXE
- %WINDIR%\TEMP#01.EXE
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\EXPL0RER.EXE
Сетевая активность:
Подключается к:
- 'any':25
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
