Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\VlcSetup.exe
- %TEMP%\twx4.tmp /src= /uid= /cc= /fo= /fb= /so=
- %TEMP%\searchInstaller.exe /hp
- %TEMP%\dynamic-3d.exe http://www.sh####search.com/?3d####
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
- chrome.exe
- iexplore.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nst6.tmp\modern-wizard.bmp
- %TEMP%\nst6.tmp\ButtonEvent.dll
- %TEMP%\nst6.tmp\registry.dll
- %TEMP%\nst6.tmp\NSISdl.dll
- %TEMP%\nst6.tmp\eula.rtf
- %TEMP%\nst6.tmp\left.bmp
- %TEMP%\nst6.tmp\nsDialogs.dll
- %TEMP%\nst6.tmp\System.dll
- %TEMP%\search.ini
- %TEMP%\searchInstaller.exe
- %TEMP%\nsv2.tmp
- %TEMP%\nsl3.tmp\Processes.dll
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs.jstmp
- %TEMP%\twx4.tmp
- %TEMP%\dynamic-3d.exe
- %TEMP%\VlcSetup.exe
Перемещает следующие файлы:
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs.jstmp в %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs.js
Сетевая активность:
Подключается к:
- 'www.ge####installer.com':80
TCP:
Запросы HTTP GET:
- www.ge####installer.com/t/VLC?a=######
UDP:
- DNS ASK www.ge####installer.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '#32770' WindowName: ''
- ClassName: '' WindowName: 'Shell_TrayWnd'
