• 中文除工具是一个小型但有效的应用程序为目标的[email protected] 恶意软件。

    一旦运行,这造成了两个自己的副本,在Windows文件夹:SCANDISK.EXE 和另一个随机命名的文件(例如:"xjvhtbxt.EXE").

    创建一个互斥"SWEDENSUX"以便允许只有一份在存储器。

    它试图关闭过程的名称为"病毒","防火墙","f-安全的","赛门铁克","mcafee","pc-cillin","趋势微"的"软件","*","诺顿的"。

    它感染的可执行文件搜索*.exe、*.scr和*。lnk文件%的桌面和%开始菜单,如果一个.lnk文件被发现,则检索的可执行路径和名称包含在内。lnk文件,然后打开了文件(如果它成立的一个。exe或.scr文件,它将打开它们直接),并增加了一个根结束的可执行文件,随后劫持的功能之一ExitProcess,GetProcAddress,GetModuleHandleA,LoadLibraryA要点的存根。 存根载荷并执行该文件具有随机的名字在Windows文件夹(例如:"xjvhtbxt.EXE").

    它创造了关键的注册表

    [HKEY_LOCAL_MACHINESoftwareMicrosoftwindows CurrentVersionRun"扫描"="C:WINDOWSSCANDISK.exe"]

    它看起来在[HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrun]

    [HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunservices]和试图修改该文件指出的钥匙,并使它们无法使用。

    它的收成电子邮件寻找匹配的文件"*的。eml","*的。htm*","*的。dbx"和窗户的地址簿。 它还包含了一些硬编码的电子邮件。

  • हिन्दी हटाने के उपकरण के एक छोटे लेकिन प्रभावी आवेदन है कि लक्ष्य [email protected] मैलवेयर.

    एक बार चलाने के लिए, यह बनाता है की दो प्रतियां ही में Windows फ़ोल्डर: SCANDISK.EXE और एक बेतरतीब ढंग से नामित फ़ाइल (पूर्व: "xjvhtbxt.EXE").

    बनाता है एक mutex "SWEDENSUX" अनुमति देने के लिए केवल एक प्रतिलिपि की ही स्मृति में ।

    यह प्रयास करने के लिए शट डाउन प्रक्रियाओं के साथ के रूप में नाम "वायरस","फ़ायरवॉल","f-सुरक्षित","symantec","mcafee","पीसी-cillin","ट्रेंड माइक्रो","कैसपर्सकी","दूर","नॉर्टन".

    यह संक्रमित निष्पादन योग्य फ़ाइलों के लिए खोज *.exe, *.scr और *.lnk फ़ाइलों को %windir%के डेस्कटॉप और %windir%तो प्रारंभ मेनू के एक है .lnk फ़ाइल पाया जाता है, यह retrieves निष्पादन योग्य का पथ और नाम के भीतर निहित है । lnk फ़ाइल है, तो फ़ाइल को खोलता है (यदि यह founds .exe या .scr फाइल को खोलता है, उन्हें सीधे) और कहते हैं एक ठूंठ के अंत करने के लिए निष्पादन योग्य फ़ाइल है, तो hijacks कार्यों में से एक ExitProcess, GetProcAddress, GetModuleHandleA, LoadLibraryA करने के लिए बात करने के लिए ठूंठ. ठूंठ लोड और निष्पादित फ़ाइल के साथ यादृच्छिक नाम में Windows फ़ोल्डर (पूर्व: "xjvhtbxt.EXE").

    यह बनाता है रजिस्ट्री कुंजी

    [HKEY_LOCAL_MACHINESoftwareMicrosoftwindows CurrentVersionRun"ScanDisk"="C:WINDOWSSCANDISK.exe"]

    यह लग रहा है में [HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrun] और

    [HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunservices] और प्रयास को संशोधित करने के लिए फ़ाइलों द्वारा उठाई कुंजी है, और उन्हें प्रस्तुत करना व्यर्थ है ।

    यह फसल ई-मेल फ़ाइलों के लिए खोज मिलान "*.eml","*.एचटीएम*","*.dbx" और Windows पता पुस्तिका. यह भी शामिल है कुछ hardcoded ई-मेल.

  • Ganda Removal Tool is a small but effective application that targets the [email protected] malware.

    Once run, it creates two copies of itself in Windows folder: SCANDISK.EXE and another randomly named file (ex: "xjvhtbxt.EXE").

    Creates a mutex "SWEDENSUX" in order to allow only one copy of itself in memory.

    It attempts to shut down processes with names as "virus","firewall","f-secure","symantec","mcafee","pc-cillin","trend micro","kaspersky","sophos","norton".

    It infects executable files by searching for *.exe, *.scr and *.lnk files in %windir%DESKTOP and %windir%START MENU If a .lnk file is found, it retrieves the executable path and name contained within the .lnk file, then opens the file (if it founds a .exe or a .scr file, it opens them directly) and adds a stub to the end of the executable file, then hijacks one of the functions ExitProcess, GetProcAddress, GetModuleHandleA, LoadLibraryA to point to the stub. The stub loads and executes the file with random name in Windows folder (ex: "xjvhtbxt.EXE").

    It creates registry key

    [HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun"ScanDisk"="C:WINDOWSSCANDISK.exe"]

    It looks in [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] and

    [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] and attempts to modify the files pointed by the keys, and render them unusable.

    It harvests e-mails searching for files matching "*.eml","*.htm*","*.dbx" and Windows Address Book. It also contains some hardcoded e-mails.