Техническая информация
Вредоносные функции:
Внедряет код в
следующие пользовательские процессы:
- NDesigner.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\NDesigner.exe
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-14.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-15.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-16.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-17.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-18.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-19.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-20.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-21.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-22.nld
- %TEMP%\Temp002.edt
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-23.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-25.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-26.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-27.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-28.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-29.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-30.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-31.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-32.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-33.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-12.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-13.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-11.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-10.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-09.nld
- %TEMP%\RarSFX0\NewsletterDesigner\Registry.rw.tvr
- %TEMP%\RarSFX0\NewsletterDesigner\Registry.rw.tvr.transact
- %TEMP%\RarSFX0\NewsletterDesigner\Registry.tlog.cache
- %TEMP%\RarSFX0\NewsletterDesigner\SKEL\504bf021dfeb56d4295da475981d0b07c3b4fb3e.SharedTA.bb8.bb4
- %TEMP%\RarSFX0\NewsletterDesigner\Registry.tlog
- %TEMP%\RarSFX0\NewsletterDesigner\%Cookies%\index.dat
- %TEMP%\RarSFX0\NewsletterDesigner\%Local AppData%\GDIPFONTCACHEV1.DAT
- %TEMP%\RarSFX0\NewsletterDesigner\%drive_C%\NewsletterDesigner\NewsletterDesigner_Vorlage.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%drive_C%\NewsletterDesigner\Old.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-34.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-24.nld
- %TEMP%\Temp001.edt
- %TEMP%\temp.htm
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-01.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-02.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-03.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-04.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-05.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-06.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-07.nld
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-08.nld
- %TEMP%\RarSFX0\NewsletterDesigner\Registry.rw.tvr.lck.CRNJEUFU.ffffffff.bb8
- %TEMP%\BKG0001.bkg
- %TEMP%\RarSFX0\NewsletterDesigner\%Personal%\NewsletterDesigner\Templates\NewsletterDesigner_Vorlage-35.nld
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\RarSFX0\NewsletterDesigner\%Cookies%\index.dat
Удаляет следующие файлы:
- %TEMP%\temp.htm
Перемещает следующие файлы:
- %TEMP%\RarSFX0\NewsletterDesigner\Registry.rw.tvr.lck.CRNJEUFU.ffffffff.bb8 в %TEMP%\RarSFX0\NewsletterDesigner\Registry.rw.tvr.lck
- %TEMP%\RarSFX0\NewsletterDesigner\SKEL\504bf021dfeb56d4295da475981d0b07c3b4fb3e.SharedTA.bb8.bb4 в %TEMP%\RarSFX0\NewsletterDesigner\SKEL\504bf021dfeb56d4295da475981d0b07c3b4fb3e.SharedTA
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\NDesigner.exe'
