Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %HOMEPATH%\start menu\programs\startup\ndiso.vbs
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\ulquj.exe'
Внедряет код в
следующие пользовательские процессы:
- odjf.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- <LS_APPDATA>\nichrome\user data\default\web data
- <LS_APPDATA>\chromium\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
- %APPDATA%\thunderbird\profiles.ini
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ulquj.exe
- %APPDATA%\ndiso\odjf.exe
- %APPDATA%\ndiso\odjf.exe:zoneidentifier
- %APPDATA%\cea850\01dba1.hdb
- %APPDATA%\cea850\01dba1.lck
Удаляет следующие файлы
- %APPDATA%\ndiso\odjf.exe
- %HOMEPATH%\start menu\programs\startup\ndiso.vbs
- %APPDATA%\cea850\01dba1.lck
Перемещает следующие файлы
- %APPDATA%\ndiso\odjf.exe в %APPDATA%\cea850\01dba1.exe
Подменяет следующие файлы
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-1229272821-842925246-1060284298-1003\f58155b4b1d5a524ca0261c3ee99fb50_5f9fe710-99e6-4c04-be62-a7f1b8b321d1
Сетевая активность
Подключается к
- '5.##.133.250':80
TCP
Запросы HTTP GET
- http://5.##.133.137/11/40698520
Другое
Ищет следующие окна
- ClassName: 'Ghost' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\ndiso\odjf.exe'
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office12\excel.exe' -Embedding
- '%ProgramFiles%\microsoft office\office12\excelcnv.exe' -Embedding
