Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\setup.exe
- %TEMP%\jvsc.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsb4.tmp\dxvataskbar.bmp
- %TEMP%\nsb4.tmp\atilogo.bmp
- %TEMP%\nsb4.tmp\dxva.ini
- %TEMP%\nsb4.tmp\splash.bmp
- %TEMP%\nsb4.tmp\modern-header.bmp
- %TEMP%\nsb4.tmp\custompage.ini
- %TEMP%\nsb4.tmp\AdvSplash.dll
- %TEMP%\nsb4.tmp\cudataskbar.bmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\download[1].php
- %TEMP%\nsz2.tmp\inetc.dll
- %TEMP%\setup.exe
- %TEMP%\jvsc.exe
- %TEMP%\nsb4.tmp\cudalogo.bmp
- %TEMP%\nsb4.tmp\cuda.ini
- %TEMP%\nsb4.tmp\serial.ini
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\setup.exe
Сетевая активность:
Подключается к:
- 'www.nt###one.com':80
TCP:
Запросы HTTP GET:
- www.nt###one.com/download.php?lH######
UDP:
- DNS ASK www.nt###one.com
- '<IP-адрес в локальной сети>':1037
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
