Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\csrss.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-h9rbp.tmp\<Имя файла>.tmp
- %TEMP%\is-77h8r.tmp\ri_aftertop.bmp
- %TEMP%\is-77h8r.tmp\rebateinfeula.en.rtf
- %TEMP%\is-77h8r.tmp\dwb1_rebateinf3.bmp
- %TEMP%\is-77h8r.tmp\dwb1_rebatelogo.bmp
- %TEMP%\is-77h8r.tmp\ovterms_en.rtf
- %TEMP%\is-77h8r.tmp\ovbundle.bmp
- %TEMP%\is-77h8r.tmp\ovlogo.bmp
- %TEMP%\is-77h8r.tmp\pcpsterms.en.rtf
- %TEMP%\is-77h8r.tmp\pcpsbundle.bmp
- %TEMP%\is-77h8r.tmp\pcpslogo.bmp
- %TEMP%\is-77h8r.tmp\ri_afterbottom.bmp
- %TEMP%\is-77h8r.tmp\24x7_eula.en.rtf
- %TEMP%\is-77h8r.tmp\24x7_bundle.bmp
- %TEMP%\is-77h8r.tmp\24x7_icon.bmp
- %TEMP%\is-77h8r.tmp\ct2012.bmp
- %TEMP%\is-77h8r.tmp\tbr_dots.bmp
- %TEMP%\is-77h8r.tmp\inbox.ini
- %TEMP%\is-77h8r.tmp\downlib.dll
- %TEMP%\is-77h8r.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-77h8r.tmp\setupcfg.ini
- %TEMP%\is-77h8r.tmp\_isetup\_setup64.tmp
- %TEMP%\is-77h8r.tmp\_isetup\_regdll.tmp
- %TEMP%\is-77h8r.tmp\ibx_plus.bmp
- %TEMP%\is-77h8r.tmp\ri_afterdot.bmp
Подменяет следующие файлы
- %ProgramFiles%\UNP\Logs\UpdateNotificationPipeline.001.etl
Сетевая активность
TCP
Запросы HTTP GET
- http://cf#.#nbox.com/cr_confirm.asmx/GetXMLLog?Tb############################################################################
UDP
- DNS ASK cf#.#nbox.com
- DNS ASK go.microsoft.com
- DNS ASK share.microsoft.com
- DNS ASK settings-win.data.microsoft.com
- DNS ASK maps.windows.com
- DNS ASK dl.delivery.mp.microsoft.com
- DNS ASK ar#.msn.com
- DNS ASK im##########-rt-microsoft-com.akamaized.net
Другое
Создает и запускает на исполнение
- '%TEMP%\is-h9rbp.tmp\<Имя файла>.tmp' /SL5="$180250,1725877,70144,<Полный путь к файлу>"
Запускает на исполнение
- '<SYSTEM32>\devicecensus.exe' UserCxt
- '<SYSTEM32>\svchost.exe' -k netsvcs -p
