Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,,<SYSTEM32>\nod1801krns.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\NTDETBAT.EXE'
- '%TEMP%\NTDETECT.EXE'
- '%TEMP%\NTDETEAT.EXE'
- '%TEMP%\NTDETECT.EXE' (загружен из сети Интернет)
- '%TEMP%\NTDETEAT.EXE' (загружен из сети Интернет)
- '%TEMP%\NTDETBAT.EXE' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\NTDETECT.EXE
- %TEMP%\NTDETBAT.EXE
- %TEMP%\NTDETEAT.EXE
Сетевая активность:
Подключается к:
- 'pl###x.3322.org':80
- 'w1###.3322.org':1801
TCP:
Запросы HTTP GET:
- http://pl###x.3322.org/1.exe
- http://pl###x.3322.org/2.exe
- http://pl###x.3322.org/3.exe
UDP:
- DNS ASK pl###x.3322.org
- DNS ASK w1###.3322.org
