Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'onplus' = '%PROGRAM_FILES%\onplus\onplus.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\onplus\onplus.exe
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\onplus\onplusrw.dat
- %PROGRAM_FILES%\onplus\onplusrw.dll
- %PROGRAM_FILES%\onplus\uninst.exe
- %TEMP%\nsf2.tmp\AccessControl.dll
- %TEMP%\nsf2.tmp\nsUtil.dll
- %PROGRAM_FILES%\onplus\onplusov.dat
- %PROGRAM_FILES%\onplus\onplus.exe
- %TEMP%\nsf2.tmp\nsBase64.dll
- %PROGRAM_FILES%\onplus\onplusup.exe
- %PROGRAM_FILES%\onplus\onplussb.dll
- %PROGRAM_FILES%\onplus\onplusov.exe
Удаляет следующие файлы:
- %TEMP%\nsf2.tmp\nsUtil.dll
- %TEMP%\nsf2.tmp\nsBase64.dll
- %TEMP%\nsf2.tmp\AccessControl.dll
Сетевая активность:
Подключается к:
- 'www.on##lus.net':80
- '21#.#3.123.40':80
TCP:
Запросы HTTP GET:
- www.on##lus.net/update/default_test.htm
- 21#.#3.123.40/onplus/install.php?pa###################################
UDP:
- DNS ASK www.on##lus.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
