Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%WINDIR%\system\csrss.exe,'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\system\csrss.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\\system\del.bat
- '<SYSTEM32>\attrib.exe' <DRIVERS>\etc\hosts -r -s -h
- '<SYSTEM32>\attrib.exe' <DRIVERS>\etc\hosts.ics -r -s -h
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\system\del.bat
- %WINDIR%\system\csrss.exe
- %WINDIR%\regini.ini
Удаляет следующие файлы:
- <DRIVERS>\etc\hosts
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'IEFrame' WindowName: '(null)'
- ClassName: 'DBL' WindowName: 'DBL'
