Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\npf] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nsa3.tmp\ns4.tmp' net stop npf
- '%TEMP%\nsa3.tmp\ns5.tmp' net start npf
- '<Текущая директория>\wbcache.esn'
- '%HOMEPATH%\My Documents\tmp.exe' Documents\tmp.exe /S
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' start npf
- '<SYSTEM32>\net1.exe' stop npf
- '<SYSTEM32>\net.exe' stop npf
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wpcap.dll
- <SYSTEM32>\Packet.dll
- <SYSTEM32>\pthreadVC.dll
- %PROGRAM_FILES%\WinPcap\rpcapd.exe
- <DRIVERS>\npf.sys
- %TEMP%\nsa3.tmp\ns5.tmp
- %PROGRAM_FILES%\WinPcap\LICENSE
- %PROGRAM_FILES%\WinPcap\uninstall.exe
- %HOMEPATH%\My Documents\tmp.exe
- %TEMP%\nsv2.tmp
- <Текущая директория>\wbcache.esn
- <SYSTEM32>\mfc101jpsle.dll
- %TEMP%\nsa3.tmp\options.ini
- %TEMP%\nsa3.tmp\nsExec.dll
- %TEMP%\nsa3.tmp\ns4.tmp
- %TEMP%\nsa3.tmp\final.ini
- %TEMP%\nsa3.tmp\System.dll
Удаляет следующие файлы:
- %TEMP%\nsa3.tmp\options.ini
- %TEMP%\nsa3.tmp\nsExec.dll
- %HOMEPATH%\My Documents\tmp.exe
- %TEMP%\nsa3.tmp\System.dll
- %TEMP%\nsa3.tmp\ns4.tmp
- <Текущая директория>\wbcache.esn
- %TEMP%\nsa3.tmp\final.ini
- %TEMP%\nsa3.tmp\ns5.tmp
Сетевая активность:
Подключается к:
- '21#.#74.123.7':8931
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
