Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\stivc] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\SVCHOST.EXE'
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s /u shell32.dll
- '<SYSTEM32>\regsvr32.exe' /s /u "%CommonProgramFiles%\System\ado\msado15.dll"
- '<SYSTEM32>\regsvr32.exe' /s /u msxml.dll
- '<SYSTEM32>\regsvr32.exe' /s /u wshom.ocx
- '<SYSTEM32>\regsvr32.exe' /s /u scrrun.dll
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1601' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\SVCHOST.EXE
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\SVCHOST.EXE
Другое:
Ищет следующие окна:
- ClassName: 'Internet Explorer_TridentDlgFrame' WindowName: 'Internet Explorer ????????'
- ClassName: '#32770' WindowName: '????????????'
- ClassName: '#32770' WindowName: 'Microsoft Internet Explorer'
- ClassName: ' ?I' WindowName: '#32770'
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
