Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'VideoPadInstall' = '%APPDATA%\1337\vppsetup.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\n1s\nchsetup.exe
- %TEMP%\n1s\nchsetup.cab
- %TEMP%\n1s\nchdata.dat
- %TEMP%\n1s\nchdata.cab
- %TEMP%\nsy3.tmp\System.dll
- %TEMP%\nsn2.tmp
- %APPDATA%\1337\vppsetup.exe
- %APPDATA%\1337\blog.bat
Удаляет следующие файлы:
- %TEMP%\n1s\nchdata.cab
- %TEMP%\n1s\nchsetup.cab
- %TEMP%\nsy3.tmp\System.dll
Сетевая активность:
Подключается к:
- 'go#.gl':443
- 'localhost':1037
UDP:
- DNS ASK go#.gl
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'NCHSoftware_InstanceWindow' WindowName: 'VideoPad'
- ClassName: 'NCHSoftware_InstanceChain' WindowName: 'VideoPad'
- ClassName: '' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
Создает и запускает на исполнение:
- '%TEMP%\n1s\nchsetup.exe' -installer "%APPDATA%\1337\vppsetup.exe" -instdata "%TEMP%\n1s\nchdata.dat"
- '%APPDATA%\1337\vppsetup.exe'
Запускает на исполнение:
- '%ProgramFiles%\Internet Explorer\IEXPLORE.EXE' -nohome
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\1337\blog.bat" "
