Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe rundll32.exe xlyf.ppo ebneby'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nse3.tmp\webtraff.exe'
- '%TEMP%\nse3.tmp\CB-WP.exe'
- '%TEMP%\nse3.tmp\e4u.exe'
- '%TEMP%\nse3.tmp\bodivxdl.exe'
- '%TEMP%\nse3.tmp\dnu.exe'
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\6.tmp
- %TEMP%\5.tmp
- %TEMP%\~4.bat
- %TEMP%\Aqz..bat
- <SYSTEM32>\xlyf.ppo
- %WINDIR%\Temp\8.tmp
- %TEMP%\nse3.tmp\dnu.exe
- %TEMP%\nse3.tmp\bodivxdl.exe
- %TEMP%\nsi2.tmp
- %TEMP%\nse3.tmp\CB-WP.exe
- %TEMP%\nse3.tmp\webtraff.exe
- %TEMP%\nse3.tmp\e4u.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\~4.bat
Удаляет следующие файлы:
- %TEMP%\~4.bat
- %TEMP%\nse3.tmp\webtraff.exe
- <SYSTEM32>\spool\prtprocs\w32x86\7.tmp
- %WINDIR%\Temp\8.tmp
- %TEMP%\nse3.tmp\CB-WP.exe
- %TEMP%\nse3.tmp\bodivxdl.exe
- %TEMP%\nse3.tmp\e4u.exe
- %TEMP%\nse3.tmp\dnu.exe
Перемещает следующие файлы:
- %TEMP%\6.tmp в <SYSTEM32>\spool\prtprocs\w32x86\7.tmp
Сетевая активность:
UDP:
- DNS ASK av##i.com
- DNS ASK co###-arts.com
- DNS ASK bb###sworld.com
- DNS ASK wo####tsstudio.com
- DNS ASK ab####gnostic.com
- DNS ASK wo####tsgallery.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
