Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ctfmon.exe' = '<SYSTEM32>\ctfmon.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\~nsu.tmp\Au_.exe' /S _?=%TEMP%\
- '%TEMP%\uninst.exe' /S
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s run.reg
- '<SYSTEM32>\regsvr32.exe' /u /s igfxpph.dll
- '<SYSTEM32>\regsvr32.exe' /u /s nvcpl.dll
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Favorites\ц·ІИнјюХѕ.url
- %TEMP%\nsp3.tmp\UserInfo.dll
- %TEMP%\nsp3.tmp\System.dll
- %HOMEPATH%\Favorites\РВАЛ.url
- %HOMEPATH%\Favorites\УЕїбНш.url
- %HOMEPATH%\Favorites\ЦР№ШґеФЪПЯ .url
- <SYSTEM32>\run.reg
- %TEMP%\nst5.tmp
- %TEMP%\~nsu.tmp\Au_.exe
- %TEMP%\nsc7.tmp
- <DRIVERS>\rtkhdaud.dat
- %TEMP%\temp.ini
- %TEMP%\uninst.exe
- %HOMEPATH%\Favorites\ПµНіґуНжјТ.url
- %HOMEPATH%\Favorites\Google.url
- %HOMEPATH%\Favorites\°Щ¶И.url
- %HOMEPATH%\Favorites\°Щ¶ИТ»ПВЈ¬ДгѕНЦЄµА.url
- %TEMP%\nsf2.tmp
- <SYSTEM32>\oeminfo.ini
- <SYSTEM32>\oemlogo.bmp
- %HOMEPATH%\Favorites\ВМЙ«Инјю.url
- %HOMEPATH%\Favorites\Ммј«Нш.url
- %HOMEPATH%\Favorites\НшХѕЦ®јТ.url
- %HOMEPATH%\Favorites\НшЦ·µјєЅ.url
- %HOMEPATH%\Favorites\Зэ¶ЇЦ®јТ.url
- %HOMEPATH%\Favorites\ЛДјѕУйАЦВЫМі.url
- %HOMEPATH%\Favorites\ЛСєь.url
Удаляет следующие файлы:
- %TEMP%\uninst.exe
- %TEMP%\temp.ini
- %TEMP%\nsp3.tmp\UserInfo.dll
- <SYSTEM32>\run.reg
- %TEMP%\nsp3.tmp\System.dll
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
