Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\PolicyAgent] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%ProgramFiles%\synwmyhu\alencfeaayq.exe' -file m7oxkp8lr27.txt
- '%TEMP%\nsg2.tmp\ns5.tmp' sc config PolicyAgent start= auto
- '%TEMP%\nsg2.tmp\ns3.tmp' sc start PolicyAgent
- '%TEMP%\nsg2.tmp\ns4.tmp' "alencfeaayq.exe" -file m7oxkp8lr27.txt
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' config PolicyAgent start= auto
- '<SYSTEM32>\sc.exe' start PolicyAgent
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\tx.ini
- %ProgramFiles%\synwmyhu\m7oxkp8lr27.txt
- %ProgramFiles%\synwmyhu\alencfeaayq.exe
- %TEMP%\nsg2.tmp\nsplugin.dll
- <Текущая директория>\op.ini
- %ProgramFiles%\synwmyhu\info.reg
- %TEMP%\nsg2.tmp\ns5.tmp
- %TEMP%\nsg2.tmp\ns4.tmp
- %TEMP%\nsg2.tmp\nsExec.dll
- %TEMP%\nsg2.tmp\ns3.tmp
- %ProgramFiles%\synwmyhu\ser000.xml
- %TEMP%\nsg2.tmp\System.dll
- %ProgramFiles%\synwmyhu\reginfo.xml
- %ProgramFiles%\synwmyhu\menu.xml
- %ProgramFiles%\synwmyhu\s0001.xml
- %TEMP%\nsg2.tmp\InetLoad.dll
- %TEMP%\nsg2.tmp\Internet.dll
- %TEMP%\nsg2.tmp\nsRandom.dll
- %ProgramFiles%\synwmyhu\temp0604213200577.ini
- %ProgramFiles%\synwmyhu\un0604213200577.exe
Удаляет следующие файлы:
- %TEMP%\nsg2.tmp\ns4.tmp
- %TEMP%\nsg2.tmp\ns3.tmp
Сетевая активность:
Подключается к:
- 'tj.##nzhuan.co':80
- 'm.###nong.com':888
TCP:
Запросы HTTP GET:
- http://tj.##nzhuan.co/svr.asp?c=#######################################
UDP:
- DNS ASK tj.##nzhuan.co
- DNS ASK m.###nong.com
