Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = 'filesafe.dll'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\ntvdm.exe' -f -i1
- '<SYSTEM32>\regsvr32.exe' /s /u "%PROGRAM_FILES%\snav\snav.dll"
- '<SYSTEM32>\regsvr32.exe' /s /u "<SYSTEM32>\snav.dll"
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\snav.dll
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
- <SYSTEM32>\iebarLite.exe
- <SYSTEM32>\unz32dll.dll
- <SYSTEM32>\HintPop.log
- <SYSTEM32>\HintBrowser.dll
- <SYSTEM32>\filesafe.dll
Удаляет следующие файлы:
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
- <SYSTEM32>\snav.dll
Сетевая активность:
UDP:
- DNS ASK sp##.#intsoft.net
- 'sp##.#intsoft.net':8888
Другое:
Ищет следующие окна:
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-c88.c8c.380001'
