Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Microsoft Windows Service Host!' = '%WINDIR%\explorer.exe "%PROGRAM_FILES%\FireFox\svcchost.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\FireFox\svcchost.exe
Запускает на исполнение:
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0x00000000 /f
- %WINDIR%\regedit.exe /s "%TEMP%\tmpreg.reg"
- <SYSTEM32>\taskkill.exe /IM svcchost.exe /F /T
- <SYSTEM32>\cmd.exe /c %TEMP%\TMPCOPY.bat
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmpreg.reg
- %PROGRAM_FILES%\FireFox\svcchost.exe
- %TEMP%\TMPCOPY.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\FireFox\svcchost.exe
Удаляет следующие файлы:
- %TEMP%\tmpreg.reg
- %TEMP%\TMPCOPY.bat
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: '' WindowName: ''
