Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:百度安全套装安装程序'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:百度安全套装安装程序'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsc3.tmp\dl.dll
- %TEMP%\nsc3.tmp\tmp7d9kz7.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\90000094[1]
- %TEMP%\nsc3.tmp\BDMDownload.dll
- %TEMP%\nsm2.tmp
- %TEMP%\nsc3.tmp\res\onlineWnd.zip
- %TEMP%\nsc3.tmp\BDMSkin.dll
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\90000094[1]
Сетевая активность:
Подключается к:
- '12#.#25.114.144':80
TCP:
Запросы HTTP GET:
- 12#.#25.114.144/api/openapi/json_get_2to1_minipath_config_v4/90000094
UDP:
- DNS ASK sh###.baidu.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '#32770' WindowName: '(null)'
- ClassName: 'BDThreeInOneCombineWND' WindowName: '(null)'
