Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'nplog2' = 'rundll32 %APPDATA%\nplog.log,rdl'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\tutu_A.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' %APPDATA%\nplog.log,rdl
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\aution.ico
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\aution[1].ico
- %HOMEPATH%\Favorites\їБјЗ.url
- %HOMEPATH%\Desktop\їБјЗ.url
- %APPDATA%\nplog.log
- %TEMP%\aut1.tmp
- %APPDATA%\tutu_A.exe
- %TEMP%\aut2.tmp
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\aution[1].ico
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
Сетевая активность:
Подключается к:
- 'ba####.funtvi.kr':80
- 'md###.funtvi.kr':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- ba####.funtvi.kr/action.php?pa######################
- md###.funtvi.kr/bacon/aution.ico
UDP:
- DNS ASK ba####.funtvi.kr
- DNS ASK md###.funtvi.kr
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
