Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\vpjsfffsugsv] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\jcvihdk\DrBoan_price_s.exe (загружен из сети Интернет)
- %APPDATA%\jcvihdk\vpjsfffsugsv.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c \DelUS.bat
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\DrBoan_price_s[1].exe
- %TEMP%\nsg5.tmp\DLLWebCount.dll
- %TEMP%\nsg5.tmp\Math.dll
- C:\DelUS.bat
- %TEMP%\nsb2.tmp\SelfDelete.dll
- %APPDATA%\jcvihdk\DrBoan_price_s.exe
- %TEMP%\nsk4.tmp
- %TEMP%\nsb2.tmp\InetLoad.dll
- %APPDATA%\jcvihdk\vpjsfffsugsv.exe
- %TEMP%\nsg5.tmp\System.dll
- %TEMP%\nsg5.tmp\pklhxoi.dll
- %PROGRAM_FILES%\vpjsfffsugsv\vpjsfffsugsv.dll
Удаляет следующие файлы:
- %TEMP%\nsb2.tmp\SelfDelete.dll
- %TEMP%\nsb2.tmp\InetLoad.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'we###unter.kr':80
- 'do##.#r-boan.co.kr':80
TCP:
Запросы HTTP GET:
- we###unter.kr/check_counter.php?pi###########################################
- do##.#r-boan.co.kr/install/partner/DrBoan_price_s.exe
UDP:
- DNS ASK we###unter.kr
- DNS ASK do##.#r-boan.co.kr
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
