Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\hpinstall.exe' /hp="http://www.al#####.com?sr###########"
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
- chrome.exe
- iexplore.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\install.ico
- %TEMP%\nsd4.tmp\System.dll
- %TEMP%\iexplorer_monitor.exe
- %TEMP%\nsd4.tmp\nsJSON.dll
- %TEMP%\nsd4.tmp\KillProc.dll
- %TEMP%\sqlite3.dll
- %TEMP%\unistaller_Tim_Pub_Nam_Pro_Aff_Cco.exe
- %TEMP%\nse2.tmp\nsisXML.dll
- %TEMP%\install_config.dat
- %TEMP%\nse2.tmp\NSISdl.dll
- %TEMP%\links.exe
- %TEMP%\hpinstall.exe
- %TEMP%\nse2.tmp\Processes.dll
Удаляет следующие файлы:
- %TEMP%\iexplorer_monitor.exe
- %TEMP%\unistaller_Tim_Pub_Nam_Pro_Aff_Cco.exe
- %TEMP%\links.exe
- %TEMP%\nse2.tmp\Processes.dll
- %TEMP%\nse2.tmp\nsisXML.dll
- %TEMP%\nse2.tmp\NSISdl.dll
- %TEMP%\nsd4.tmp\KillProc.dll
- %TEMP%\install.ico
- %TEMP%\sqlite3.dll
- %TEMP%\hpinstall.exe
- %TEMP%\nsd4.tmp\System.dll
- %TEMP%\nsd4.tmp\nsJSON.dll
Сетевая активность:
Подключается к:
- 'www.in####lgenius.com':80
TCP:
Запросы HTTP GET:
- www.in####lgenius.com/installer/getdata.php?wt#####
UDP:
- DNS ASK www.in####lgenius.com
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'Shell_TrayWnd'
