Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\MjNlZj] 'Start' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\MjNlZj] 'ImagePath' = '<SYSTEM32>\MjNlZj.sys'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Play1.dat
- %TEMP%\nsl2.tmp\ns7.tmp
- %TEMP%\nsl2.tmp\ns6.tmp
- %TEMP%\nsl2.tmp\ns5.tmp
- %TEMP%\nsl2.tmp\nsSCM.dll
- %TEMP%\nsl2.tmp\ns4.tmp
- %TEMP%\nsl2.tmp\ns3.tmp
- %TEMP%\nsl2.tmp\NsExec.dll
- %TEMP%\nsl2.tmp\ns8.tmp
- %TEMP%\nsl2.tmp\Base64.dll
- %TEMP%\nsl2.tmp\System.dll
- %TEMP%\Play15.dat
- %TEMP%\Play6.dat
- %TEMP%\Play5.dat
- %TEMP%\Play4.dat
- %TEMP%\Play3.dat
- %TEMP%\Play2.dat
- %TEMP%\Play32.dat
- %TEMP%\nsl2.tmp\ns9.tmp
Удаляет следующие файлы:
- %TEMP%\nsl2.tmp\ns3.tmp
- %TEMP%\nsl2.tmp\ns4.tmp
- %TEMP%\nsl2.tmp\ns5.tmp
- %TEMP%\nsl2.tmp\ns6.tmp
- %TEMP%\nsl2.tmp\ns7.tmp
- %TEMP%\nsl2.tmp\ns8.tmp
Другое:
Создает и запускает на исполнение:
- '%TEMP%\nsl2.tmp\ns3.tmp' "%TEMP%\7z.exe" rn -paabbccdd "%TEMP%\Play32.dat" "UfdsvtIopuy.sys" "MjNlZj.sys"
- '%TEMP%\nsl2.tmp\ns4.tmp' "%TEMP%\7z.exe" x -paabbccdd "%TEMP%\Play32.dat" -o"<SYSTEM32>\"
- '%TEMP%\nsl2.tmp\ns5.tmp' "%TEMP%\7z.exe" x -aoa -paabbccdd "%TEMP%\Play15.dat" -o"%HOMEPATH%\Local Settings\Temp"
- '%TEMP%\nsl2.tmp\ns6.tmp' "%TEMP%\7z.exe" x -aoa -paabbccdd "%TEMP%\Play1.dat" -o"<LS_APPDATA>"
- '%TEMP%\nsl2.tmp\ns7.tmp' "%TEMP%\7z.exe" x -aoa -paabbccdd "%TEMP%\Play2.dat" -o"%APPDATA%"
- '%TEMP%\nsl2.tmp\ns8.tmp' "%TEMP%\7z.exe" x -aoa -paabbccdd "%TEMP%\Play4.dat" -o""
- '%TEMP%\nsl2.tmp\ns9.tmp' "%TEMP%\7z.exe" x -aoa -paabbccdd "%TEMP%\Play3.dat" -o""
