empty pif

Ответ от
Техническая информация
# Написан на Microsoft Visual Basic 6.0.
# При своём запуске открывает в Проводнике Windows каталог Мои Документы.
# Создаёт копию в C:WINDOWSINF
orBtok.exe, которую регистрирует в секции автозапуска системного реестра:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Bron-Spizaetus = C:WINDOWSINF
orBtok.exe
А также
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Tok-Cirrhatus = %USERPROFILE%Local SettingsApplication Datasmss.exe
Некоторые модификации BackDoor.Generic.1138 создают свою копию в каталоге %WINDIR%SHELLNEWsempalong.exe, которую регистрирует в секции автозагрузки системного реестра -
HKCUSoftwareMicrosoftWindowsCurrentVersionRun. Кроме того, создаёт копию в системном каталоге с именем eksplorasi.exe, которую регистрирует в следующей секции реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonShell
"Shell" = Explorer.exe eksplorasi.exe
# Создаёт файлы в следующих каталогах:
C:Documents and Settings\%USERPROFILE%Local SettingsApplication Datasmss.exe
C:Documents and Settings\%USERPROFILE%Local SettingsApplication Dataservices.exe
C:Documents and Settings\%USERPROFILE%Local SettingsApplication Datalsass.exe
C:Documents and Settings\%USERPROFILE%Local SettingsApplication Datainetinfo.exe
C:Documents and Settings\%USERPROFILE%TemplatesA.kotnorB.com
C:WINDOWSsystem323D Animation.scr
# Создаёт свою копию в меню "Пуск"с именем Empty.pif:
C:Documents and Settings\%USERPROFILE%Start MenuProgramsStartupEmpty.pif
# Модифицирует файл Autoexec.bat, внося в него строку pause
# Блокриует запуск утилит работы с реестром Regedit и Regedt32, модифицируя значение ключа