Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nsp6.tmp\ns7.tmp' "sc.exe" delete DD_Service
- '%TEMP%\nsj3.tmp\DD_66.252.208.13_830.exe' /17332141201-399245197_Five Area Systems/0
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' delete DD_Service
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsj3.tmp\DD1-399245197.txt
- %TEMP%\nsisdt.dll
- %TEMP%\nsp6.tmp\NSISdl.dll
- %TEMP%\nsd5.tmp
- %TEMP%\nsp6.tmp\Splash.dll
- %TEMP%\nsp6.tmp\nsExec.dll
- %TEMP%\nsp6.tmp\ns7.tmp
- %HOMEPATH%\My Documents\My Videos\Desktop.ini
- %PROGRAM_FILES%\DD20.4.4201310291705\Advantig.txt
- %HOMEPATH%\Start Menu\Programs\Administrative Tools\desktop.ini
- %TEMP%\nsj3.tmp\DD.txt
- %TEMP%\nsj3.tmp\Splash.bmp
- %TEMP%\nsj3.tmp\ddHelper.exe
- %TEMP%\nsd2.tmp
- %TEMP%\nsj3.tmp\DD_66.252.208.13_830.exe
- %TEMP%\nsj3.tmp\Blank.bmp
- %TEMP%\nsj3.tmp\Ring.wav
- %TEMP%\nsj3.tmp\Icon2.ico
- %TEMP%\nsj3.tmp\Logo.bmp
- %TEMP%\nsj3.tmp\Icon1.ico
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\My Documents\My Videos\Desktop.ini
Удаляет следующие файлы:
- %PROGRAM_FILES%\DD20.4.4201310291705\Advantig.txt
- %TEMP%\nsisdt.dll
- %TEMP%\nsj3.tmp\DD1-399245197.txt
Сетевая активность:
Подключается к:
- 'www.du###esk.com':80
TCP:
Запросы HTTP GET:
- www.du###esk.com/unreg/1-399245197.txt
UDP:
- DNS ASK www.du###esk.com
Другое:
Ищет следующие окна:
- ClassName: 'SysListView32' WindowName: '(null)'
- ClassName: '#32770' WindowName: '(null)'
- ClassName: 'DualDesk desktop sink' WindowName: '(null)'
