Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsnaac.tmp\inetc.dll
- C:\acorn\acmanufacture.pbd
- C:\acorn\acmem_event.pbd
- C:\acorn\acmem_store.pbd
- C:\acorn\acmember.pbd
- C:\acorn\acmemberdw.pbd
- C:\acorn\acmethod.pbd
- C:\acorn\acmisdw.pbd
- C:\acorn\acpurchase.pbd
- C:\acorn\acorn.exe
- C:\acorn\acorn.pbd
- C:\acorn\acpipeline.pbd
- C:\acorn\acprimecost.pbd
- C:\acorn\acproduct.pbd
- C:\acorn\acproductdw.pbd
- C:\acorn\aclabelprint.pbd
- C:\acorn\acmis.pbd
- C:\acorn\acinventory.pbd
- C:\acorn\acdeal_logis.pbd
- C:\acorn\accargo.pbd
- C:\acorn\accmdt_ctrl.pbd
- C:\acorn\accode.pbd
- C:\acorn\accommodity.pbd
- C:\acorn\accommoditydw.pbd
- C:\acorn\acdeal_collect.pbd
- C:\acorn\acdealanadw.pbd
- C:\acorn\acfranchise.pbd
- C:\acorn\acdealanaobj.pbd
- C:\acorn\acdealdw.pbd
- C:\acorn\acdealobj.pbd
- C:\acorn\acemplyee.pbd
- C:\acorn\acemplyeedw.pbd
- C:\acorn\acerror.pbd
- C:\acorn\acgoods.pbd
- C:\acorn\acsda.pbd
- C:\acorn\uninst.exe
- C:\acorn\acsales01.pbd
- C:\acorn\acstore.pbd
- C:\acorn\acvendor.pbd
- C:\acorn\acvirtual_accnt.pbd
- C:\acorn\acxtra.pbd
- C:\acorn\acxtradw.pbd
- C:\acorn\pbdwr105.pbd
- %PROGRAMDATA%\microsoft\windows\start menu\programs\acorn\acorn.lnk
- C:\acorn\acsa.pbd
- C:\acorn\acorn_maeil_updtr.exe
- %PROGRAMDATA%\microsoft\windows\start menu\programs\acorn\updater.lnk
- %HOMEPATH%\desktop\acorn.lnk
- C:\acorn\acorn_flvsn.url
- %PROGRAMDATA%\microsoft\windows\start menu\programs\acorn\website.lnk
- %PROGRAMDATA%\microsoft\windows\start menu\programs\acorn\uninstall.lnk
- C:\acorn\acsms.pbd
- C:\acorn\acbuyingdw.pbd
- C:\acorn\acsettle.pbd
- C:\acorn\acscb.pbd
- C:\acorn\acsales_order.pbd
- C:\acorn\acsalesop.pbd
- C:\acorn\acsalesopdw.pbd
- C:\acorn\acsalestamp.pbd
- C:\acorn\acsappr.pbd
- C:\acorn\acsc_cancel.pbd
- C:\acorn\acpurchasedw.pbd
- C:\acorn\acsdx.pbd
- C:\acorn\acsdapic.pbd
- C:\acorn\acsdc.pbd
- C:\acorn\acsdcdw.pbd
- C:\acorn\acsdd.pbd
- C:\acorn\acsdp.pbd
- C:\acorn\acsds.pbd
- C:\acorn\acsecurity.pbd
- C:\acorn\ms_logo.gif
- C:\acorn\acbuying.pbd
- C:\acorn\$oainherit.pbd
- C:\acorn\pbado105.dll
- C:\acorn\pbase105.dll
- C:\acorn\pbcomrt105.dll
- C:\acorn\pbdir105.dll
- C:\acorn\pbdwe105.dll
- C:\acorn\pbdwr105.dll
- C:\acorn\pbjag105.dll
- C:\acorn\pbole105.dll
- C:\acorn\pbjdb105.dll
- C:\acorn\pbjvm105.dll
- C:\acorn\pbo10105.dll
- C:\acorn\pbo84105.dll
- C:\acorn\pbo90105.dll
- C:\acorn\pbodb105.dll
- C:\acorn\pbacc105.dll
- C:\acorn\pbin9105.dll
- C:\acorn\pbxerces105.dll
- %TEMP%\nsx21de.tmp\selfdel.dll
- %TEMP%\svr_oak_version.ini
- %TEMP%\acorn_maeil_lnchr.exe
- %TEMP%\nsnaac.tmp\killproc.dll
- C:\acorn\bcp.exe
- %TEMP%\nsx21de.tmp\inetc.dll
- %TEMP%\acorn_maeil.exe
- %TEMP%\nse4a8f.tmp\killproc.dll
- C:\acorn\odbcad32.exe
- C:\acorn\atl71.dll
- C:\acorn\gdiplus.dll
- C:\acorn\libjcc.dll
- C:\acorn\libjutils.dll
- C:\acorn\msvcp71.dll
- C:\acorn\msvcr71.dll
- C:\acorn\pbnetwsruntime105.dll
- C:\acorn\rtc\tp11_css.dll
- C:\acorn\acbasedw.pbd
- C:\acorn\pbsyc105.dll
- C:\acorn\rtc\tp11_tif.flt
- C:\acorn\rtc\tp11_tls.dll
- C:\acorn\rtc\tp11_wmf.flt
- C:\acorn\rtc\tp11_wnd.dll
- C:\acorn\rtc\tp4ole11.ocx
- C:\acorn\$oadw2xls.pbd
- C:\acorn\$oamethod.pbd
- C:\acorn\pbshr105.dll
- C:\acorn\$oaobjects.pbd
- C:\acorn\ac_as.pbd
- C:\acorn\acaccount.pbd
- C:\acorn\acar.pbd
- C:\acorn\acassets.pbd
- C:\acorn\acbase.pbd
- C:\acorn\rtc\tp11_rtf.dll
- C:\acorn\acbboard.pbd
- C:\acorn\rtc\tp11_png.flt
- C:\acorn\rtc\tp11_bmp.flt
- C:\acorn\pbsyj105.dll
- C:\acorn\pbtra105.dll
- C:\acorn\pbtrs105.dll
- C:\acorn\pbvm105.dll
- C:\acorn\ttf16.ocx
- C:\acorn\rtc\tp11.dll
- C:\acorn\pbrtc105.dll
- C:\acorn\rtc\tp11_obj.dll
- C:\acorn\rtc\tp11_doc.dll
- C:\acorn\rtc\tp11_gif.flt
- C:\acorn\rtc\tp11_htm.dll
- C:\acorn\rtc\tp11_ic.dll
- C:\acorn\rtc\tp11_ic.ini
- C:\acorn\rtc\tp11_jpg.flt
- C:\acorn\rtc\tp11_pdf.dll
- %TEMP%\nse4a8f.tmp\selfdel.dll
Удаляет следующие файлы
- %TEMP%\svr_oak_version.ini
- %TEMP%\acorn_maeil_lnchr.exe
- %TEMP%\nsnaac.tmp\inetc.dll
- %TEMP%\nsnaac.tmp\killproc.dll
- %TEMP%\nsx21de.tmp\inetc.dll
- %TEMP%\nsx21de.tmp\selfdel.dll
- %TEMP%\nse4a8f.tmp\killproc.dll
- %TEMP%\nse4a8f.tmp\selfdel.dll
- %TEMP%\acorn_maeil.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://up####.champlus.co.kr/update/svr_oak_version.ini
- http://up####.champlus.co.kr/update/Acorn/Acorn_maeil_lnchr.exe
- http://up####.champlus.co.kr/update/Acorn/Acorn_maeil.exe
UDP
- DNS ASK up####.champlus.co.kr
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\acorn_maeil.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\syswow64\regsvr32.exe' /s "C:\Acorn\ttf16.ocx"
