Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = '<SYSTEM32>\Microsoft.com'
- [<HKLM>\SYSTEM\ControlSet001\Services\svchost] 'Start' = '00000002'
- скрытых файлов
- '%APPDATA%\gen32.exe'
- '%PROGRAM_FILES%\Microsoft Services\symgr.exe'
- '%APPDATA%\gen32.exe' (загружен из сети Интернет)
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- %APPDATA%\gen32.exe
- <SYSTEM32>\Microsoft.com
- %PROGRAM_FILES%\Microsoft Services\symgr.exe
- <SYSTEM32>\Microsoft.com
- <Полный путь к вирусу>
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- из <Полный путь к вирусу> в %TEMP%\8291
- 'ga###omp.net':80
- 'wp#d':80
- ga###omp.net/gen32.exe
- wp#d/wpad.dat
- DNS ASK ga###omp.net
- DNS ASK wp#d