Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Nvidiia' = 'C:\ProgramData\Nvidiia\Nvidiia.exe'
Вредоносные функции:
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: C:\ProgramData\Nvidiia\Nvidiiahk.dll
оконных сообщений:
- Библиотека-обработчик для всех процессов: C:\ProgramData\Nvidiia\Nvidiiahk.dll
Изменения в файловой системе:
Создает следующие файлы:
- C:\ProgramData\Nvidiia\install.log
- C:\ProgramData\Nvidiia\install.bin
- C:\ProgramData\Nvidiia\help.chm
- C:\ProgramData\Nvidiia\Nvidiia.exe
- %ProgramFiles%\abc\Bản Quyền.vbs
- %ProgramFiles%\abc\hoi.CETRAINER
- C:\ProgramData\Nvidiia\Nvidiiaconfigure.exe
- C:\ProgramData\Nvidiia\Nvidiiai.dll
- C:\ProgramData\Nvidiia\Nvidiiahk.dll
- C:\ProgramData\Nvidiia\Auto.exe
- C:\ProgramData\Nvidiia\Nvidiiar.exe
- C:\ProgramData\Nvidiia\pkl.bin
- C:\ProgramData\Nvidiia\Nvidiiawb.dll
- C:\ProgramData\Nvidiia\Nvidiiavw.exe
Другое:
Ищет следующие окна:
- ClassName: 'Button' WindowName: 'ICQ'
- ClassName: 'MButtonClass' WindowName: ''
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: 'PKL Window'
- ClassName: 'RichEdit20A' WindowName: ''
Создает и запускает на исполнение:
- 'C:\ProgramData\Nvidiia\Nvidiiaconfigure.exe' set_startup
- 'C:\ProgramData\Nvidiia\Auto.exe'
- 'C:\ProgramData\Nvidiia\Nvidiia.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL %ProgramFiles%\abc\hoi.CETRAINER
- '<SYSTEM32>\wscript.exe' "%ProgramFiles%\abc\Bản Quyền.vbs"
