Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'CTFMON.EXE' = '<SYSTEM32>\CTFMON.EXE'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'MailManager' = '<Полный путь к вирусу>'
Создает или изменяет следующие файлы:
- %WINDIR%\system.ini
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\ctfmon.exe'
- '<SYSTEM32>\rundll32.exe' shell32,Control_RunDLL intl.cpl,,/f:"%TEMP%\\regopts.txt" /s:"<Текущая директория>\I386"
- '<SYSTEM32>\rundll32.exe' advpack.dll,LaunchINFSectionEx <Текущая директория>\INTL.NF,LANGUAGE_COLLECTION.COMPLEX.INSTALL,<Текущая директория>\I386,4,I
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\alomn.Dll
- %TEMP%\regopts.txt
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'CicLoaderWndClass' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
