Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\uque.exe'
- '<SYSTEM32>\cxwsf.exe' upruu
- '<SYSTEM32>\fypgrteg.exe' upruu
- '<SYSTEM32>\upruu.exe'
- '<SYSTEM32>\iexplore.exe'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsr6.tmp\AccessControl.dll
- %TEMP%\nsr6.tmp\System.dll
- <SYSTEM32>\Log\Install.log
- %TEMP%\nsr6.tmp\ShellLink.dll
- <SYSTEM32>\tslablec.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\GetUrl[1].aspx
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Жф¶ЇдЇААЖч.lnk
- <SYSTEM32>\ClearTemp.exe
- %TEMP%\nso2.tmp\AccessControl.dll
- %TEMP%\~TMP32BF.tmp
- %TEMP%\nso2.tmp\System.dll
- <SYSTEM32>\Launcher.exe
- <SYSTEM32>\Launch_IE.exe
- <SYSTEM32>\IEMon.exe
- <SYSTEM32>\iexplore.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\uque.exe
- <SYSTEM32>\cxwsf.exe
- <SYSTEM32>\fypgrteg.exe
- %TEMP%\~TMP32BF.tmp
- <SYSTEM32>\upruu.exe
Удаляет следующие файлы:
- %TEMP%\nsr6.tmp\ShellLink.dll
- %TEMP%\nsr6.tmp\System.dll
- %TEMP%\nsr6.tmp\AccessControl.dll
- %TEMP%\nso2.tmp\AccessControl.dll
- %TEMP%\nso2.tmp\System.dll
Перемещает следующие файлы:
- <SYSTEM32>\Launch_IE.exe в <SYSTEM32>\uque.exe
- <SYSTEM32>\ClearTemp.exe в <SYSTEM32>\cxwsf.exe
- <SYSTEM32>\Launcher.exe в <SYSTEM32>\upruu.exe
- <SYSTEM32>\IEMon.exe в <SYSTEM32>\fypgrteg.exe
Сетевая активность:
Подключается к:
- 'co####.netbarad.net':80
TCP:
Запросы HTTP GET:
- co####.netbarad.net/GetUrl.aspx
UDP:
- DNS ASK co####.netbarad.net
