Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ucn' = '<SYSTEM32>\ucn.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\ucn.exe' = '<SYSTEM32>\ucn.exe:*:Enabled:DeskUpdata'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Favorites\G-ё¶ДП.url
- %HOMEPATH%\Favorites\їБјЗ.url
- %TEMP%\nsn2.tmp\NSISdl.dll
- %PROGRAM_FILES%\urlclean\uninst.exe
- %HOMEPATH%\Favorites\install_log.php
- <SYSTEM32>\ucn.exe
- %PROGRAM_FILES%\urlclean\urlclean.dll
- <SYSTEM32>\uclean.ucn
- <SYSTEM32>\auction.ico
- <SYSTEM32>\gmarket.ico
Удаляет следующие файлы:
- %TEMP%\nsn2.tmp\NSISdl.dll
- %HOMEPATH%\Favorites\install_log.php
Сетевая активность:
Подключается к:
- 'ur###ean.com':80
TCP:
Запросы HTTP GET:
- ur###ean.com/log/install_log.php
UDP:
- DNS ASK ur###ean.com
