Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{F2648D0C-0033-4E34-A0DA-473C42B0A99A}] 'Exec' = 'http://www.vogoo.net/?user='
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\Browser.exe %CommonProgramFiles%\Drivers\Bin\powxm.dll
- <SYSTEM32>\Stat.exe iemonhits
- <SYSTEM32>\sqzoyehg.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\Drivers\Bin\tsmfl.dll
- <SYSTEM32>\data.ldb
- <SYSTEM32>\tslable.ini
- <SYSTEM32>\data.dsz
- %TEMP%\nsf2.tmp\nsRandom.dll
- %TEMP%\nsb4.tmp\AccessControl.dll
- %TEMP%\nsb4.tmp\nsProcess.dll
- <SYSTEM32>\z.ico
- <SYSTEM32>\tslablec.ini
- %TEMP%\nsb4.tmp\System.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\homepagepic[1].aspx
- <SYSTEM32>\data.ini
- %TEMP%\nsf2.tmp\System.dll
- %TEMP%\nsf2.tmp\AccessControl.dll
- <Текущая директория>\config.ini
- %TEMP%\nsf2.tmp\blowfish.dll
- %TEMP%\nsf2.tmp\nsProcess.dll
- <SYSTEM32>\config.ini
- <SYSTEM32>\Browser.exe
- <SYSTEM32>\Client_TB.exe
- <SYSTEM32>\tbword.szd
- <SYSTEM32>\Stat.exe
- <SYSTEM32>\IEMon.exe
Удаляет следующие файлы:
- %TEMP%\nsf2.tmp\nsRandom.dll
- %TEMP%\nsf2.tmp\System.dll
- <SYSTEM32>\data.ldb
- %TEMP%\nsf2.tmp\AccessControl.dll
- %TEMP%\nsf2.tmp\blowfish.dll
- %TEMP%\nsf2.tmp\nsProcess.dll
Сетевая активность:
Подключается к:
- 'co####.netbarad.net':80
TCP:
Запросы HTTP GET:
- co####.netbarad.net/homepagepic.aspx?us###############################
UDP:
- DNS ASK co####.netbarad.net
