Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Yaric' = '<SYSTEM32>\Yaric.exe'
Malicious functions:
Creates and executes the following:
- %TEMP%\7ZipSfx.000\rebuild.exe /Q
- %HOMEPATH%\Рабочий стол\rebuild.exe
- <SYSTEM32>\Yaric.exe
Executes the following:
- <SYSTEM32>\cscript.exe sleep.vbs 5000
- <SYSTEM32>\wscript.exe "<SYSTEM32>\0.VBS"
Modifies file system :
Creates the following files:
- %HOMEPATH%\Рабочий стол\Адресная книга.lnk
- %HOMEPATH%\Рабочий стол\Архивация данных.lnk
- %HOMEPATH%\Рабочий стол\wupdmgr.lnk
- %HOMEPATH%\Рабочий стол\XPTweaker.lnk
- %HOMEPATH%\Рабочий стол\Громкость.lnk
- %HOMEPATH%\Рабочий стол\Дефрагментация диска.lnk
- %HOMEPATH%\Рабочий стол\Блокнот.lnk
- %HOMEPATH%\Рабочий стол\Восстановление системы.lnk
- %HOMEPATH%\Рабочий стол\wowexec.lnk
- %HOMEPATH%\Рабочий стол\wpabaln.lnk
- %HOMEPATH%\Рабочий стол\WISPTIS.lnk
- %HOMEPATH%\Рабочий стол\WordPad.lnk
- %HOMEPATH%\Рабочий стол\wse.lnk
- %HOMEPATH%\Рабочий стол\wuauclt1.lnk
- %HOMEPATH%\Рабочий стол\write.lnk
- %HOMEPATH%\Рабочий стол\wscript.lnk
- %HOMEPATH%\Рабочий стол\Мастер совместимости программ.lnk
- %HOMEPATH%\Рабочий стол\Назначенные задания.lnk
- %HOMEPATH%\Рабочий стол\Мастер новых подключений.lnk
- %HOMEPATH%\Рабочий стол\Мастер переноса файлов и параметров.lnk
- %HOMEPATH%\Рабочий стол\Проводник.lnk
- %HOMEPATH%\Рабочий стол\Сведения о системе.lnk
- %HOMEPATH%\Рабочий стол\Очистка диска.lnk
- %HOMEPATH%\Рабочий стол\Панель управления.lnk
- %HOMEPATH%\Рабочий стол\Звукозапись.lnk
- %HOMEPATH%\Рабочий стол\Калькулятор.lnk
- %HOMEPATH%\Рабочий стол\Диспетчер рисунков Microsoft Office.lnk
- %HOMEPATH%\Рабочий стол\Диспетчер служебных программ.lnk
- %HOMEPATH%\Рабочий стол\Мастер беспроводной сети.lnk
- %HOMEPATH%\Рабочий стол\Мастер настройки сети.lnk
- %HOMEPATH%\Рабочий стол\Командная строка.lnk
- %HOMEPATH%\Рабочий стол\Корзина.lnk
- %HOMEPATH%\Рабочий стол\Winter.lnk
- %HOMEPATH%\Рабочий стол\syskey.lnk
- %HOMEPATH%\Рабочий стол\sysocmgr.lnk
- %HOMEPATH%\Рабочий стол\syncapp.lnk
- %HOMEPATH%\Рабочий стол\sysedit.lnk
- %HOMEPATH%\Рабочий стол\taskmgr.lnk
- %HOMEPATH%\Рабочий стол\telnet.lnk
- %HOMEPATH%\Рабочий стол\System Volume Information (2).lnk
- %HOMEPATH%\Рабочий стол\System Volume Information.lnk
- %HOMEPATH%\Рабочий стол\Solar Winds.lnk
- %HOMEPATH%\Рабочий стол\SoundMan.lnk
- %HOMEPATH%\Рабочий стол\sndvol32.lnk
- %HOMEPATH%\Рабочий стол\sol.lnk
- %HOMEPATH%\Рабочий стол\stimon.lnk
- %HOMEPATH%\Рабочий стол\Storm.lnk
- %HOMEPATH%\Рабочий стол\spider.lnk
- %HOMEPATH%\Рабочий стол\ssndii.lnk
- %HOMEPATH%\Рабочий стол\winfxdocobj.lnk
- %HOMEPATH%\Рабочий стол\winhelp.lnk
- %HOMEPATH%\Рабочий стол\winchat.lnk
- %HOMEPATH%\Рабочий стол\WINDOWS.lnk
- %HOMEPATH%\Рабочий стол\winlogon.lnk
- %HOMEPATH%\Рабочий стол\winmine.lnk
- %HOMEPATH%\Рабочий стол\winhlp32 (2).lnk
- %HOMEPATH%\Рабочий стол\winhlp32.lnk
- %HOMEPATH%\Рабочий стол\twunk_16.lnk
- %HOMEPATH%\Рабочий стол\twunk_32.lnk
- %HOMEPATH%\Рабочий стол\TotalCommander.lnk
- %HOMEPATH%\Рабочий стол\TuneUp Utilities 2008.lnk
- %HOMEPATH%\Рабочий стол\wextract.lnk
- %HOMEPATH%\Рабочий стол\wiaacmgr.lnk
- %HOMEPATH%\Рабочий стол\utilman.lnk
- %HOMEPATH%\Рабочий стол\verifier.lnk
- %HOMEPATH%\Рабочий стол\Сетевые подключения.lnk
- %HOMEPATH%\Рабочий стол\Дата и время.lnk
- %HOMEPATH%\Рабочий стол\Диспетчер задач.lnk
- %HOMEPATH%\Рабочий стол\Автоматическое обновление.lnk
- %HOMEPATH%\Рабочий стол\Брандмауэр Windows.lnk
- %HOMEPATH%\Рабочий стол\Мышь.lnk
- %HOMEPATH%\Рабочий стол\Настройка ClearType.lnk
- %HOMEPATH%\Рабочий стол\Звуки и аудиоустройства.lnk
- %HOMEPATH%\Рабочий стол\Клавиатура.lnk
- %HOMEPATH%\Рабочий стол\Сеанс MS-DOS.pif
- %HOMEPATH%\Рабочий стол\rebuild.exe
- %HOMEPATH%\Рабочий стол\vwipxspx.pif
- %HOMEPATH%\Рабочий стол\win.pif
- %HOMEPATH%\Рабочий стол\wmplayer.lnk
- %HOMEPATH%\Рабочий стол\Автозагрузка (2).lnk
- %HOMEPATH%\Рабочий стол\документи.lnk
- %HOMEPATH%\Рабочий стол\комп.lnk
- %HOMEPATH%\Рабочий стол\Шрифты.lnk
- %HOMEPATH%\Рабочий стол\Экран.lnk
- %HOMEPATH%\Рабочий стол\Установка оборудования.lnk
- %HOMEPATH%\Рабочий стол\Учетные записи пользователей.lnk
- %TEMP%\7ZipSfx.000\sleep.vbs
- %TEMP%\7ZipSfx.000\rebuild.exe
- %HOMEPATH%\Рабочий стол\Электропитание.lnk
- %HOMEPATH%\Рабочий стол\Язык и региональные стандарты.lnk
- %HOMEPATH%\Рабочий стол\Свойства обозревателя.lnk
- %HOMEPATH%\Рабочий стол\Свойства папки.lnk
- %HOMEPATH%\Рабочий стол\Панель задач и меню ''Пуск''.lnk
- %HOMEPATH%\Рабочий стол\Речь.lnk
- %HOMEPATH%\Рабочий стол\Специальные возможности.lnk
- %HOMEPATH%\Рабочий стол\Телефон и модем.lnk
- %HOMEPATH%\Рабочий стол\Система.lnk
- %HOMEPATH%\Рабочий стол\Сканеры и камеры.lnk
- %HOMEPATH%\Рабочий стол\tree.pif
- %HOMEPATH%\Рабочий стол\debug.pif
- %HOMEPATH%\Рабочий стол\diskcomp.pif
- %HOMEPATH%\Рабочий стол\ARJ.pif
- %HOMEPATH%\Рабочий стол\chcp.pif
- %HOMEPATH%\Рабочий стол\edlin.pif
- %HOMEPATH%\Рабочий стол\exe2bin.pif
- %HOMEPATH%\Рабочий стол\diskcopy.pif
- %HOMEPATH%\Рабочий стол\dosx.pif
- %HOMEPATH%\Рабочий стол\Установка и удаление программ.lnk
- %HOMEPATH%\Рабочий стол\Центр обеспечения безопасности.lnk
- %HOMEPATH%\Рабочий стол\Синхронизация.lnk
- %HOMEPATH%\Рабочий стол\Таблица символов.lnk
- %HOMEPATH%\Рабочий стол\.pif
- %HOMEPATH%\Рабочий стол\append.pif
- %HOMEPATH%\Рабочий стол\Экранная клавиатура.lnk
- %HOMEPATH%\Рабочий стол\Экранная лупа.lnk
- %HOMEPATH%\Рабочий стол\mscdexnt.pif
- %HOMEPATH%\Рабочий стол\nlsfunc.pif
- %HOMEPATH%\Рабочий стол\MS-DOS Editor.pif
- %HOMEPATH%\Рабочий стол\MS-DOS Memory Information.pif
- %HOMEPATH%\Рабочий стол\setver.pif
- %HOMEPATH%\Рабочий стол\share.pif
- %HOMEPATH%\Рабочий стол\nw16.pif
- %HOMEPATH%\Рабочий стол\redir.pif
- %HOMEPATH%\Рабочий стол\graftabl.pif
- %HOMEPATH%\Рабочий стол\graphics.pif
- %HOMEPATH%\Рабочий стол\fastopen.pif
- %HOMEPATH%\Рабочий стол\format.pif
- %HOMEPATH%\Рабочий стол\mode.pif
- %HOMEPATH%\Рабочий стол\more.pif
- %HOMEPATH%\Рабочий стол\kb16.pif
- %HOMEPATH%\Рабочий стол\loadfix.pif
- %HOMEPATH%\Рабочий стол\sndrec32.lnk
- %HOMEPATH%\Рабочий стол\eventvwr.lnk
- %HOMEPATH%\Рабочий стол\explorer (2).lnk
- %HOMEPATH%\Рабочий стол\eudcedit.lnk
- %HOMEPATH%\Рабочий стол\Euphoria.lnk
- %HOMEPATH%\Рабочий стол\Flocks.lnk
- %HOMEPATH%\Рабочий стол\Flurry.lnk
- %HOMEPATH%\Рабочий стол\explorer.lnk
- %HOMEPATH%\Рабочий стол\Finish.lnk
- %HOMEPATH%\Рабочий стол\Documents and Settings.lnk
- %HOMEPATH%\Рабочий стол\dpvsetup.lnk
- %HOMEPATH%\Рабочий стол\cx21sci.lnk
- %HOMEPATH%\Рабочий стол\ddeshare.lnk
- %HOMEPATH%\Рабочий стол\dvdplay.lnk
- %HOMEPATH%\Рабочий стол\dxdiag.lnk
- %HOMEPATH%\Рабочий стол\drwatson.lnk
- %HOMEPATH%\Рабочий стол\drwtsn32.lnk
- %HOMEPATH%\Рабочий стол\Internet Explorer (без надстроек).lnk
- %HOMEPATH%\Рабочий стол\iun6002.lnk
- %HOMEPATH%\Рабочий стол\HyperTerminal.lnk
- %HOMEPATH%\Рабочий стол\iexpress.lnk
- %HOMEPATH%\Рабочий стол\javaws.lnk
- %HOMEPATH%\Рабочий стол\Kaspersky 2009.lnk
- %HOMEPATH%\Рабочий стол\java.lnk
- %HOMEPATH%\Рабочий стол\javaw.lnk
- %HOMEPATH%\Рабочий стол\fsquirt.lnk
- %HOMEPATH%\Рабочий стол\GoldLace.lnk
- %HOMEPATH%\Рабочий стол\Flux.lnk
- %HOMEPATH%\Рабочий стол\freecell.lnk
- %HOMEPATH%\Рабочий стол\Helios.lnk
- %HOMEPATH%\Рабочий стол\HideWin.lnk
- %HOMEPATH%\Рабочий стол\Green Fields.lnk
- %HOMEPATH%\Рабочий стол\grpconv.lnk
- %HOMEPATH%\Рабочий стол\ctfmon.lnk
- %HOMEPATH%\Рабочий стол\alcwzrd.lnk
- %HOMEPATH%\Рабочий стол\apexpmp.lnk
- %HOMEPATH%\Рабочий стол\Alcmtr.lnk
- %HOMEPATH%\Рабочий стол\Alcohol.lnk
- %HOMEPATH%\Рабочий стол\Bubbles.lnk
- %HOMEPATH%\Рабочий стол\calc.lnk
- %HOMEPATH%\Рабочий стол\ArtMoney SE v7.11.lnk
- %HOMEPATH%\Рабочий стол\Branded.lnk
- %HOMEPATH%\Рабочий стол\(C) СКРИНЬКА.lnk
- %HOMEPATH%\Рабочий стол\(D) АРХІВ.lnk
- <SYSTEM32>\Yaric.exe
- <SYSTEM32>\0.VBS
- %HOMEPATH%\Рабочий стол\ahui.lnk
- %HOMEPATH%\Рабочий стол\AIMP2.lnk
- %HOMEPATH%\Рабочий стол\3D Windows XP.lnk
- %HOMEPATH%\Рабочий стол\accwiz.lnk
- %HOMEPATH%\Рабочий стол\cmdl32.lnk
- %HOMEPATH%\Рабочий стол\cmmon32.lnk
- %HOMEPATH%\Рабочий стол\Clock.lnk
- %HOMEPATH%\Рабочий стол\cmd.lnk
- %HOMEPATH%\Рабочий стол\convert.lnk
- %HOMEPATH%\Рабочий стол\cscript.lnk
- %HOMEPATH%\Рабочий стол\cmstp.lnk
- %HOMEPATH%\Рабочий стол\conime.lnk
- %HOMEPATH%\Рабочий стол\charmap.lnk
- %HOMEPATH%\Рабочий стол\CheMax Rus.lnk
- %HOMEPATH%\Рабочий стол\ccleaner.lnk
- %HOMEPATH%\Рабочий стол\CD-дисковод.lnk
- %HOMEPATH%\Рабочий стол\clipbrd.lnk
- %HOMEPATH%\Рабочий стол\clipsrv.lnk
- %HOMEPATH%\Рабочий стол\cleanmgr.lnk
- %HOMEPATH%\Рабочий стол\cliconfg.lnk
- %HOMEPATH%\Рабочий стол\killcopy.lnk
- %HOMEPATH%\Рабочий стол\rasphone.lnk
- %HOMEPATH%\Рабочий стол\rcimlby.lnk
- %HOMEPATH%\Рабочий стол\Program Files.lnk
- %HOMEPATH%\Рабочий стол\proquota.lnk
- %HOMEPATH%\Рабочий стол\RECYCLER (2).lnk
- %HOMEPATH%\Рабочий стол\RECYCLER.lnk
- %HOMEPATH%\Рабочий стол\reboot.lnk
- %HOMEPATH%\Рабочий стол\rebuild.lnk
- %HOMEPATH%\Рабочий стол\Paint.lnk
- %HOMEPATH%\Рабочий стол\perfmon.lnk
- %HOMEPATH%\Рабочий стол\Outlook Express.lnk
- %HOMEPATH%\Рабочий стол\packager.lnk
- %HOMEPATH%\Рабочий стол\PresentationHost.lnk
- %HOMEPATH%\Рабочий стол\progman.lnk
- %HOMEPATH%\Рабочий стол\PhysXCplUI.lnk
- %HOMEPATH%\Рабочий стол\Plasma.lnk
- %HOMEPATH%\Рабочий стол\runonce.lnk
- %HOMEPATH%\Рабочий стол\setup.lnk
- %HOMEPATH%\Рабочий стол\RtlUpd.lnk
- %HOMEPATH%\Рабочий стол\rundll32.lnk
- %HOMEPATH%\Рабочий стол\sigverif.lnk
- %HOMEPATH%\Рабочий стол\SkyTel.lnk
- %HOMEPATH%\Рабочий стол\setupn.lnk
- %HOMEPATH%\Рабочий стол\shrpubw.lnk
- %HOMEPATH%\Рабочий стол\Ribbons.lnk
- %HOMEPATH%\Рабочий стол\rsmui.lnk
- %HOMEPATH%\Рабочий стол\regedit.lnk
- %HOMEPATH%\Рабочий стол\regedt32.lnk
- %HOMEPATH%\Рабочий стол\RtkUpd.lnk
- %HOMEPATH%\Рабочий стол\RTLCPL.lnk
- %HOMEPATH%\Рабочий стол\rsnotify.lnk
- %HOMEPATH%\Рабочий стол\RTHDCPL.lnk
- %HOMEPATH%\Рабочий стол\osuninst.lnk
- %HOMEPATH%\Рабочий стол\mshearts.lnk
- %HOMEPATH%\Рабочий стол\msiexec.lnk
- %HOMEPATH%\Рабочий стол\mplay32.lnk
- %HOMEPATH%\Рабочий стол\msdtc.lnk
- %HOMEPATH%\Рабочий стол\mstsc.lnk
- %HOMEPATH%\Рабочий стол\Mystify.lnk
- %HOMEPATH%\Рабочий стол\MSOCache.lnk
- %HOMEPATH%\Рабочий стол\mspaint.lnk
- %HOMEPATH%\Рабочий стол\logoff.lnk
- %HOMEPATH%\Рабочий стол\magnify.lnk
- %HOMEPATH%\Рабочий стол\Light Alloy.lnk
- %HOMEPATH%\Рабочий стол\lights.lnk
- %HOMEPATH%\Рабочий стол\mnmsrvc.lnk
- %HOMEPATH%\Рабочий стол\mobsync.lnk
- %HOMEPATH%\Рабочий стол\migpwd.lnk
- %HOMEPATH%\Рабочий стол\mmc.lnk
- %HOMEPATH%\Рабочий стол\ntsd.lnk
- %HOMEPATH%\Рабочий стол\nvunrm.lnk
- %HOMEPATH%\Рабочий стол\nslookup.lnk
- %HOMEPATH%\Рабочий стол\ntbackup.lnk
- %HOMEPATH%\Рабочий стол\oodtray.lnk
- %HOMEPATH%\Рабочий стол\osk.lnk
- %HOMEPATH%\Рабочий стол\odbcad32.lnk
- %HOMEPATH%\Рабочий стол\oodag.lnk
- %HOMEPATH%\Рабочий стол\Nero StartSmart.lnk
- %HOMEPATH%\Рабочий стол\netsetup.lnk
- %HOMEPATH%\Рабочий стол\napstat.lnk
- %HOMEPATH%\Рабочий стол\narrator.lnk
- %HOMEPATH%\Рабочий стол\notepad (2).lnk
- %HOMEPATH%\Рабочий стол\notepad.lnk
- %HOMEPATH%\Рабочий стол\No Signal.lnk
- %HOMEPATH%\Рабочий стол\nod32.lnk
Sets the 'hidden' attribute to the following files:
- %HOMEPATH%\Рабочий стол\rebuild.exe
Deletes the following files:
- %TEMP%\7ZipSfx.000\sleep.vbs
- %TEMP%\7ZipSfx.000\rebuild.exe
- <SYSTEM32>\0.VBS
Miscellaneous:
Searches for the following windows:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''