Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Security Windows' = '%PROGRAM_FILES%\Microsoft Security\Hooker.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\Microsoft Security\Hooker.exe'
- '%PROGRAM_FILES%\Microsoft Security\registry.exe'
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %PROGRAM_FILES%\Microsoft Security\HookLib.dll
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Microsoft Security\Hooker.exe
- %PROGRAM_FILES%\Microsoft Security\Hooker.ini
- %PROGRAM_FILES%\Microsoft Security\HookLib.dll
- %PROGRAM_FILES%\Microsoft Security\Log.txt
- %PROGRAM_FILES%\Microsoft Security\registry.exe
- %PROGRAM_FILES%\Microsoft Security\History.txt
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
