Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\nseu.exe
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyOverride' = 'javaUtility.ppadb.co.bw;'
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\.jnlp\certificate
- %HOMEPATH%\jnlp_logs\2020-12-01.log
- %TEMP%\imageio466131016907271252.tmp
- %TEMP%\imageio3937289638733387463.tmp
- %TEMP%\jshortcut-3520571692058661462.dll
- %HOMEPATH%\desktop\nseu.lnk
- %HOMEPATH%\bkphosts
Удаляет следующие файлы
- %TEMP%\imageio466131016907271252.tmp
- %TEMP%\imageio3937289638733387463.tmp
- %APPDATA%\microsoft\windows\start menu\programs\startup\nseu.exe
Подменяет следующие файлы
- %APPDATA%\Mozilla\Firefox\Profiles\gn7ryp3k.default\user.js
Изменяет файл HOSTS.
Другое
Запускает на исполнение
- '%ProgramFiles%\java\jre1.8.0_45\bin\javaw.exe' -jar "<Полный путь к файлу>" ppadb.jks Xk8Y8p+v3p4/7Hewy7foBg== rZa2wtHLveaHeXYHUfa9dA== ppadb.co.bw
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%ProgramFiles%\java\jre1.8.0_45\...
- '<SYSTEM32>\tasklist.exe'
