Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'mciNetdll32' = 'rundll32.exe "<LS_APPDATA>\userAuthenticationcdrom\mciNetdll32.dll",AsyncHelpMusic smiWIMgmt'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\is-P21NP.tmp\setup.tmp /SL5="$50036,702221,54272,%TEMP%\setup.exe"
- %TEMP%\setup.exe
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe "<LS_APPDATA>\userAuthenticationcdrom\mciNetdll32.dll",AsyncHelpMusic smiWIMgmt
- <SYSTEM32>\rundll32.exe "%TEMP%\SyncNetSupport.dll", AsyncHelpMusic DRMCommonPath
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\is-P21NP.tmp\setup.tmp
- %TEMP%\is-B1N4D.tmp\_isetup\_RegDLL.tmp
- %TEMP%\is-B1N4D.tmp\_isetup\_shfoldr.dll
- %TEMP%\SyncNetSupport.dll
- %TEMP%\setup.exe
- <LS_APPDATA>\userAuthenticationcdrom\mciNetdll32.dll
Удаляет следующие файлы:
- %TEMP%\SyncNetSupport.dll
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'userPadhid' WindowName: ''
