Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\nxprun.exe'
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' config MSiSCSI start= disabled
- '<SYSTEM32>\sc.exe' stop MSiSCSI
- '<SYSTEM32>\sc.exe' start AuxNxpSvc
- '<SYSTEM32>\sc.exe' delete nzHxDSvc
- '<SYSTEM32>\sc.exe' stop nzHxDSvc
- '%WINDIR%\explorer.exe'
- '<SYSTEM32>\rundll32.exe' /u <SYSTEM32>\exmon.dll
- '<SYSTEM32>\sc.exe' stop AuxNxpSvc
- '<SYSTEM32>\regsvr32.exe' <SYSTEM32>\exmon.dll /s /u
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoViewOnDrive' = '00040000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoDrives' = '00040000'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\exmon.dll
- %TEMP%\aut5.tmp
- <SYSTEM32>\nznotify.dll
- %TEMP%\aut6.tmp
- <SYSTEM32>\LDK5AUX.BIN
- %TEMP%\aut7.tmp
- <SYSTEM32>\concpl.cpl
- %TEMP%\aut2.tmp
- %TEMP%\fstpeza
- %TEMP%\aut1.tmp
- <SYSTEM32>\NxpAuxSvc.exe
- %TEMP%\aut4.tmp
- <SYSTEM32>\nxprun.exe
- %TEMP%\aut3.tmp
Удаляет следующие файлы:
- %TEMP%\aut5.tmp
- %TEMP%\aut4.tmp
- %TEMP%\aut7.tmp
- %TEMP%\aut6.tmp
- %TEMP%\fstpeza
- %TEMP%\aut1.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut2.tmp
Другое:
Ищет следующие окна:
- ClassName: 'CSCHiddenWindow' WindowName: ''
- ClassName: 'SystemTray_Main' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'OleMainThreadWndClass' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Proxy Desktop' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
- ClassName: 'BaseBar' WindowName: 'ChanApp'
