Техническая информация
Вредоносные функции:
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsg2.tmp\inetc.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\install[1].htm
- %PROGRAM_FILES%\Object\ChromeAddon.pem
- %TEMP%\nsg2.tmp\md5dll.dll
- %PROGRAM_FILES%\Object\status.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\enable[1].php
- %PROGRAM_FILES%\Object\enable.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\browser[1].htm
- %PROGRAM_FILES%\Object\status2.txt
- %PROGRAM_FILES%\Object\facetheme_uninstall.exe
- %TEMP%\nsg2.tmp\System.dll
- %TEMP%\nsg2.tmp\fct.dll
- %PROGRAM_FILES%\Object\bho_project.dll
- %PROGRAM_FILES%\Object\config.ini
- %PROGRAM_FILES%\Object\chromeaddon\included.js
- %PROGRAM_FILES%\Object\chromeaddon\manifest.json
- %PROGRAM_FILES%\Object\chromeaddon\._included.js
- %PROGRAM_FILES%\Object\chromeaddon\background.html
Удаляет следующие файлы:
- %TEMP%\nsg2.tmp\md5dll.dll
- %TEMP%\nsg2.tmp\System.dll
- %TEMP%\nsg2.tmp\fct.dll
- %TEMP%\nsg2.tmp\inetc.dll
Сетевая активность:
Подключается к:
- 'lo#####-resource.com':80
- 'in####l.adurr.com':80
TCP:
Запросы HTTP GET:
- lo#####-resource.com/applications/facetheme/enable.php?i=######################################
Запросы HTTP POST:
- in####l.adurr.com/browser.php
- in####l.adurr.com/install.php
UDP:
- DNS ASK lo#####-resource.com
- DNS ASK in####l.adurr.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
