Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'NFDayUpdate' = '%PROGRAM_FILES%\NFDay\nfdux.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'NFDay' = '%PROGRAM_FILES%\NFDay\nfdupdater.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\NFDay\nfdupdater.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\ndelfddll.exe
- %PROGRAM_FILES%\NFDay\nfddll.dll
- %PROGRAM_FILES%\NFDay\nfdalimi.exe
- %HOMEPATH%\Desktop\Feel2Day №Щ·О°Ў±в.lnk
- %HOMEPATH%\Start Menu\ЗБ·О±Ч·Ґ\NFDay\Feel2Day №Щ·О°Ў±в.lnk
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\upsetting[1].dat
- %PROGRAM_FILES%\NFDay\nfddel.exe
- %PROGRAM_FILES%\NFDay\nfdmain.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\icc[1].php
- %PROGRAM_FILES%\NFDay\nfdux.exe
- %PROGRAM_FILES%\NFDay\nfdupdater.exe
- %PROGRAM_FILES%\NFDay\nfdico.ico
Сетевая активность:
Подключается к:
- 'do##.#eel2day.com':80
TCP:
Запросы HTTP GET:
- do##.#eel2day.com/newmain/filepop/nfdalimi.exe
- do##.#eel2day.com/newmain/filepop/nfdux.exe
- do##.#eel2day.com/newmain/filepop/nfddll.dll
- do##.#eel2day.com/newmain/filepop/upsetting.dat
- do##.#eel2day.com/newmain/filepop/ndelfddll.exe
- do##.#eel2day.com/newmain/filepop/nfdmain.exe
- do##.#eel2day.com/ap_cnt/icc.php?ma################################
- do##.#eel2day.com/newmain/filepop/nfddel.exe
- do##.#eel2day.com/newmain/filepop/nfdupdater.exe
- do##.#eel2day.com/newmain/filepop/nfdico.ico
UDP:
- DNS ASK do##.#eel2day.com
- '<IP-адрес в локальной сети>':1037
