Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\Inst_Rep.job
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nsf3.tmp\DC<Имя вируса>.exe' /SECONDSTAGE /Mutex=TSMtx11093 /PIXGUID=99999999-9999-4d37-b4d0-2364271467b8
- '%TEMP%\nsf3.tmp\DC<Имя вируса>.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsf3.tmp\DC<Имя вируса>.exe
- %TEMP%\nsf3.tmp\D1989.dll
- <LS_APPDATA>\Installer\Install_3978\DC<Имя вируса>.exe
- <LS_APPDATA>\Installer\Install_19738\DC<Имя вируса>.exe
- %TEMP%\nsf3.tmp\NK.lky
- %TEMP%\nsv2.tmp
- %TEMP%\nsf3.tmp\System.dll
- %TEMP%\nsf3.tmp\7C6E720CF56A936B
Удаляет следующие файлы:
- %WINDIR%\Tasks\Inst_Rep.job
Сетевая активность:
Подключается к:
- 'by########-sbn457z6.netdna-ssl.com':80
TCP:
Запросы HTTP GET:
- http://by########-sbn457z6.netdna-ssl.com/t.ashx?e=##############################################################################################################################################...
UDP:
- DNS ASK dy#######h76q.cloudfront.net
- DNS ASK vj#######n457z6.netdna-ssl.com
- DNS ASK by########-sbn457z6.netdna-ssl.com
Другое:
Ищет следующие окна:
- ClassName: 'SB_download_btn' WindowName: 'SB Download Button'
- ClassName: '' WindowName: ''
- ClassName: '폇E' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '?E' WindowName: ''
