Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'nbrsgu.exe' = '%PROGRAM_FILES%\nbrsgu\nbrsgu.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wxindows7.exe' = '%PROGRAM_FILES%\wwindows7\wxindows7.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\nbrsgu\nbrsgu.exe'
- '%PROGRAM_FILES%\wwindows7\wxindows7.exe'
- '%PROGRAM_FILES%\nbrsgu\nbrsgu.exe' (загружен из сети Интернет)
- '%PROGRAM_FILES%\wwindows7\wxindows7.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c <Текущая директория>\$2s3d.bat
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /tn "Windows nbrsgu" /tr "\"%PROGRAM_FILES%\nbrsgu\nbrsgu.exe"\" /rl highest
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /tn "wwindows7" /tr "\"%PROGRAM_FILES%\wwindows7\wxindows7.exe"\" /rl highest
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\nbrsgu\nbrsgu.exe
- <Текущая директория>\$2s3d.bat
- %PROGRAM_FILES%\wwindows7\wxindows7.exe
- %PROGRAM_FILES%\wwindows7\ar.dat
- %PROGRAM_FILES%\nbrsgu\ar.dat
Самоудаляется.
Сетевая активность:
Подключается к:
- 'cy###my.co.kr':80
- '22#.#43.20.250':80
TCP:
Запросы HTTP GET:
- cy###my.co.kr/check/check.php?m=##################
- 22#.#43.20.250/upload2/nbrsgu.exe
- 22#.#43.20.250/upload2/wxindows7.exe
UDP:
- DNS ASK cy###my.co.kr
