Typ: Robak na pamięciach flash
Źródło: Symantec
System: Windows
Działanie:
Kopiuje się do lokalizacji:
Kod: Zaznacz cały
%UserProfile%\Local Settings\Application Data\start\update.exe
Tworzy foldery:
Kod: Zaznacz cały
* %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320
* %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\dmc
* %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom
* %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom\Usb 2.0 Driver
* %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom\Usb 2.0 Driver\S-1-5-31-1286970278978-5713669491-166975984-320
* %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom\Usb 2.0 Driver\S-1-5-31-1286970278978-5713669491-166975984-320\dmc
* %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom\Usb 2.0 Driver\S-1-5-31-1286970278978-5713669491-166975984-320\tlsr
* %UserProfile%\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\tlsr
* %UserProfile%\Local Settings\Application Data\start
Modyfikuje rejestr:
Kod: Zaznacz cały
* HKEY_USERS\S-1-5-21-1085891436-353507534-1371566055-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\"Startup" = "%UserProfile%\Local Settings\Application Data\start"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"WebViewBarricade" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Startup" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\start"
Tworzy swoją kopię siebie o nazwie z istniejącego folderu a jego samego ukrywa
Dla folderu
Kod: Zaznacz cały
%DriveLetter%\[FOLDER NAME]
Utworzy swoją kopię w:
Kod: Zaznacz cały
%DriveLetter%\[FOLDER NAME].exe