Техническая информация
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsr2.tmp\KillProc.dll
- C:\Acorn\acpurchasedw.pbd
- C:\Acorn\acpurchase.pbd
- C:\Acorn\acproductdw.pbd
- C:\Acorn\acproduct.pbd
- C:\Acorn\acprimecost.pbd
- C:\Acorn\acpipeline.pbd
- C:\Acorn\acorn.pbd
- C:\Acorn\acorn.exe
- C:\Acorn\acmisdw.pbd
- C:\Acorn\acmis.pbd
- C:\Acorn\acmethod.pbd
- C:\Acorn\acmemberdw.pbd
- C:\Acorn\acmember.pbd
- C:\Acorn\acmem_store.pbd
- C:\Acorn\acsa.pbd
- C:\Acorn\acmem_event.pbd
- C:\Acorn\aclabelprint.pbd
- C:\Acorn\acinventory.pbd
- C:\Acorn\acgoods.pbd
- C:\Acorn\acfranchise.pbd
- C:\Acorn\acerror.pbd
- C:\Acorn\acemplyeedw.pbd
- C:\Acorn\acemplyee.pbd
- C:\Acorn\acdealobj.pbd
- C:\Acorn\acdealdw.pbd
- C:\Acorn\acdealanaobj.pbd
- C:\Acorn\acdealanadw.pbd
- C:\Acorn\acdeal_logis.pbd
- C:\Acorn\acdeal_collect.pbd
- C:\Acorn\accommoditydw.pbd
- C:\Acorn\acmanufacture.pbd
- C:\Acorn\acsettle.pbd
- C:\Acorn\uninst.exe
- C:\Acorn\acsalesop.pbd
- %HOMEPATH%\Start Menu\Programs\Acorn\Uninstall.lnk
- %HOMEPATH%\Start Menu\Programs\Acorn\Website.lnk
- C:\Acorn\Acorn_flvsn.url
- %HOMEPATH%\Desktop\Acorn.lnk
- %HOMEPATH%\Start Menu\Programs\Acorn\UPDATER.lnk
- C:\Acorn\Acorn_maeil_updtr.exe
- %HOMEPATH%\Start Menu\Programs\Acorn\Acorn.lnk
- C:\Acorn\ms_logo.gif
- C:\Acorn\pbdwr105.pbd
- C:\Acorn\acxtradw.pbd
- C:\Acorn\acxtra.pbd
- C:\Acorn\acvirtual_accnt.pbd
- C:\Acorn\acvendor.pbd
- C:\Acorn\acstore.pbd
- C:\Acorn\accommodity.pbd
- C:\Acorn\acsms.pbd
- C:\Acorn\acsecurity.pbd
- C:\Acorn\acsdx.pbd
- C:\Acorn\acsds.pbd
- C:\Acorn\acsdp.pbd
- C:\Acorn\acsdd.pbd
- C:\Acorn\acsdcdw.pbd
- C:\Acorn\acsdc.pbd
- C:\Acorn\acsdapic.pbd
- C:\Acorn\acsda.pbd
- C:\Acorn\acscb.pbd
- C:\Acorn\acsc_cancel.pbd
- C:\Acorn\acsappr.pbd
- C:\Acorn\acsalestamp.pbd
- C:\Acorn\acsalesopdw.pbd
- C:\Acorn\acsales01.pbd
- C:\Acorn\acsales_order.pbd
- C:\Acorn\accode.pbd
- C:\Acorn\ttf16.ocx
- C:\Acorn\pbtra105.dll
- C:\Acorn\pbsyj105.dll
- C:\Acorn\pbsyc105.dll
- C:\Acorn\pbshr105.dll
- C:\Acorn\pbrtc105.dll
- C:\Acorn\pbole105.dll
- C:\Acorn\pbodb105.dll
- C:\Acorn\pbo90105.dll
- C:\Acorn\pbo84105.dll
- C:\Acorn\pbo10105.dll
- C:\Acorn\pbjvm105.dll
- C:\Acorn\pbjdb105.dll
- C:\Acorn\pbjag105.dll
- C:\Acorn\pbin9105.dll
- C:\Acorn\pbtrs105.dll
- C:\Acorn\pbdwr105.dll
- C:\Acorn\pbdir105.dll
- C:\Acorn\pbcomrt105.dll
- C:\Acorn\pbase105.dll
- C:\Acorn\pbado105.dll
- C:\Acorn\pbacc105.dll
- C:\Acorn\pbXerces105.dll
- C:\Acorn\pbNetWSRuntime105.dll
- C:\Acorn\odbcad32.exe
- C:\Acorn\msvcr71.dll
- C:\Acorn\msvcp71.dll
- C:\Acorn\libjutils.dll
- C:\Acorn\libjcc.dll
- C:\Acorn\gdiplus.dll
- C:\Acorn\atl71.dll
- C:\Acorn\pbdwe105.dll
- C:\Acorn\rtc\tp11_wmf.flt
- C:\Acorn\accargo.pbd
- C:\Acorn\rtc\tp11.dll
- C:\Acorn\acbuyingdw.pbd
- C:\Acorn\acbuying.pbd
- C:\Acorn\acbboard.pbd
- C:\Acorn\acbasedw.pbd
- C:\Acorn\acbase.pbd
- C:\Acorn\acassets.pbd
- C:\Acorn\acar.pbd
- C:\Acorn\acaccount.pbd
- C:\Acorn\ac_as.pbd
- C:\Acorn\$oaobjects.pbd
- C:\Acorn\$oamethod.pbd
- C:\Acorn\$oainherit.pbd
- C:\Acorn\$oadw2xls.pbd
- C:\Acorn\rtc\tp4ole11.ocx
- C:\Acorn\accmdt_ctrl.pbd
- C:\Acorn\rtc\tp11_wnd.dll
- C:\Acorn\rtc\tp11_tls.dll
- C:\Acorn\rtc\tp11_tif.flt
- C:\Acorn\rtc\tp11_rtf.dll
- C:\Acorn\rtc\tp11_png.flt
- C:\Acorn\rtc\tp11_pdf.dll
- C:\Acorn\rtc\tp11_obj.dll
- C:\Acorn\rtc\tp11_jpg.flt
- C:\Acorn\rtc\tp11_ic.ini
- C:\Acorn\rtc\tp11_ic.dll
- C:\Acorn\rtc\tp11_htm.dll
- C:\Acorn\rtc\tp11_gif.flt
- C:\Acorn\rtc\tp11_doc.dll
- C:\Acorn\rtc\tp11_css.dll
- C:\Acorn\rtc\tp11_bmp.flt
- C:\Acorn\pbvm105.dll
- %TEMP%\nsr2.tmp\SelfDel.dll
Удаляет следующие файлы:
- %TEMP%\nsr2.tmp\KillProc.dll
- %TEMP%\nsr2.tmp\SelfDel.dll
- <Полный путь к файлу>
Другое:
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s "C:\Acorn\ttf16.ocx"
- '%WINDIR%\explorer.exe'
