Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\{E97D912C-9CF6-4E2A-87F5-C68E21ADA721}.job
- %WINDIR%\Tasks\{705ED454-AEEB-43D6-9699-ACDB5851C3B4}.job
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\<Имя вируса>.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '%TEMP%\<Имя вируса>.exe' /ver 1.1.5.26 e /fi {2B31B959-B9ED-478D-862B-DDAD6B22DCB1}.txt
- '%TEMP%\nsg3.tmp\amisid.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsg3.tmp\NSIS_TaskScheduler.dll
- %TEMP%\<Имя вируса>.exe
- %TEMP%\nsg3.tmp\inetc.dll
- <Текущая директория>\StubInstallerCleanUp.bat
- %TEMP%\nsg3.tmp\md5dll.dll
- %TEMP%\taskSched.txt
- %TEMP%\nsg3.tmp\System.dll
- %TEMP%\nsg3.tmp\amisid.exe
- %TEMP%\nsw2.tmp
- %TEMP%\nsg3.tmp\NSIS_AntiVmFraud.dll
- %TEMP%\nsg3.tmp\nsisos.dll
- %TEMP%\nsg3.tmp\registry.dll
Удаляет следующие файлы:
- %TEMP%\nsg3.tmp\NSIS_TaskScheduler.dll
- %TEMP%\nsg3.tmp\NSIS_AntiVmFraud.dll
- %TEMP%\nsg3.tmp\System.dll
- %TEMP%\nsg3.tmp\registry.dll
- %TEMP%\nsg3.tmp\nsisos.dll
- %TEMP%\nsg3.tmp\amisid.exe
- %WINDIR%\Tasks\{705ED454-AEEB-43D6-9699-ACDB5851C3B4}.job
- %TEMP%\nsg3.tmp\md5dll.dll
- %TEMP%\nsg3.tmp\inetc.dll
Подменяет следующие файлы:
- %TEMP%\nsg3.tmp\NSIS_TaskScheduler.dll
Сетевая активность:
Подключается к:
- 'www.eg###dx.tech':80
TCP:
Запросы HTTP GET:
- http://www.eg###dx.tech/info.php?id######################################
UDP:
- DNS ASK www.eg###dx.tech
