Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = '%HOMEPATH%\syselp.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%HOMEPATH%\syslt.exe'
- '%TEMP%\crc32e.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\naslcl32.dll
- %HOMEPATH%\syselp.exe
- %TEMP%\naslcl32.dll
- %TEMP%\nosst.dat
- %TEMP%\sysmon.ocx
- %HOMEPATH%\syslt.dat
- <SYSTEM32>\naslcl32.dll
- %HOMEPATH%\syselp.dat
- %HOMEPATH%\syslt.exe
- %HOMEPATH%\sysltst.dat
- %TEMP%\zdt.dll
- %TEMP%\tcpsvcs.exe
- %TEMP%\tzchange.exe
- %TEMP%\nos.exe
- %TEMP%\crc32e.exe
- %TEMP%\elp.exe
- %TEMP%\wshatm.dll
- %TEMP%\wshbth.dll
- %TEMP%\wsecedit.dll
- %TEMP%\sqlwoa.dll
- %TEMP%\tprdpw32.dll
Удаляет следующие файлы:
- %TEMP%\elp.exe
- %TEMP%\nos.exe
Сетевая активность:
Подключается к:
- 'aa#####smzt.no-ip.info':2455
UDP:
- DNS ASK aa#####smzt.no-ip.info
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
