Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'IntelDriver' = '%CommonProgramFiles%\TaskHelp\taskhelp.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'SysDir' = '%CommonProgramFiles%\TaskHelp\help.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%CommonProgramFiles%\TaskHelp\taskhelp.exe'
- '%CommonProgramFiles%\TaskHelp\help.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %CommonProgramFiles%\TaskHelp\Aero.jpg
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\TaskHelp\Aero.jpg
- %HOMEPATH%\Recent\Aero.lnk
- %HOMEPATH%\Recent\TaskHelp.lnk
- %CommonProgramFiles%\TaskHelp\help.exe
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %CommonProgramFiles%\TaskHelp\taskhelp.exe
Удаляет следующие файлы:
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Сетевая активность:
Подключается к:
- '94.##4.147.52':3559
Другое:
Ищет следующие окна:
- ClassName: 'TForm1' WindowName: 'Form1'
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: '(null)'
