Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'AnCamCorder' = '"%ProgramFiles(x86)%\AHNSOFT\AnCamCorder\ancamcorderupdate.exe" -o'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\antoolupdate ½ççГ
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsma573.tmp\killprocdll.dll
- %TEMP%\test.xml
- %TEMP%\nsrc9d4.tmp\xml.dll
- %TEMP%\test_saved.xml
- %TEMP%\nsrc9d4.tmp\nsexec.dll
- %TEMP%\nsrc9d4.tmp\dllwebcount120207.dll
- %ProgramFiles(x86)%\ahnsoft\ancamcorder\uninstall.exe
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\ahnsoft\¾èåøáî åëçõ¾÷µ¥à ìæ®.lnk
- %TEMP%\nsrc9d4.tmp\usermgr.dll
- %TEMP%\nsma573.tmp\setholddate2.dll
- %APPDATA%\microsoft\internet explorer\quick launch\¾èä·äú´õ.lnk
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\ahnsoft\¾èä·äú´õ\¾èä·äú´õ.lnk
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\ahnsoft\¾èä·äú´õ\诰漳ᤠ±æà âà ì.lnk
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\ahnsoft\¾èä·äú´õ\¾èä·äú´õ ᦰå.lnk
- %APPDATA%\microsoft\windows\start menu\¾èä·äú´õ.lnk
- %TEMP%\nsma573.tmp\stringfind.dll
- %TEMP%\nsma573.tmp\dllwebcount120207.dll
- %HOMEPATH%\desktop\¾èä·äú´õ.lnk
- %ProgramFiles(x86)%\ahnsoft\antools\uninstall.exe
- %ProgramFiles(x86)%\ahnsoft\antools\antoolupdate.exe
- %TEMP%\nsrc9d4.tmp\dllwaitforkillprogram.dll
- %TEMP%\nsma573.tmp\installoption.ini
- %TEMP%\nsma573.tmp\nsispromotionex.ini
- %ProgramFiles(x86)%\ahnsoft\ancamcorder\ancamcorder.exe
- %ProgramFiles(x86)%\ahnsoft\ancamcorder\easyset.exe
- %ProgramFiles(x86)%\ahnsoft\ancamcorder\ancamcorder.ini
- %ProgramFiles(x86)%\ahnsoft\ancamcorder\ancamcorderupdate.exe
- %ProgramFiles(x86)%\ahnsoft\ancamcorder\xvid\driver\install.bat
- %TEMP%\nsma573.tmp\dllwaitforkillprogram.dll
- %ProgramFiles(x86)%\ahnsoft\ancamcorder\xvid\driver\xvid.inf
- %ProgramFiles(x86)%\ahnsoft\ancamcorder\xvid\driver\xvidvfw.dll
- %TEMP%\nsma573.tmp\gettext.dll
- %TEMP%\nsma573.tmp\filedownplug120308.dll
- %TEMP%\nsma573.tmp\antoolsupdate_setup.exe
- %TEMP%\nsrc9d4.tmp\stack.dll
- %TEMP%\nsrc9d4.tmp\isvista.dll
- %TEMP%\nsrc9d4.tmp\killprocdll.dll
- %ProgramFiles(x86)%\ahnsoft\ancamcorder\xvid\driver\xvidcore.dll
- %TEMP%\nsma573.tmp\selfdelete.dll
- C:\delus.bat
Удаляет следующие файлы
- %TEMP%\test_saved.xml
- %TEMP%\nsma573.tmp\selfdelete.dll
- %TEMP%\nsma573.tmp\nsispromotionex.ini
- %TEMP%\nsma573.tmp\killprocdll.dll
- %TEMP%\nsma573.tmp\installoption.ini
- %TEMP%\nsma573.tmp\gettext.dll
- %TEMP%\nsma573.tmp\filedownplug120308.dll
- %TEMP%\nsma573.tmp\dllwebcount120207.dll
- %TEMP%\nsma573.tmp\dllwaitforkillprogram.dll
- %TEMP%\nsma573.tmp\setholddate2.dll
- %TEMP%\nsma573.tmp\antoolsupdate_setup.exe
- %TEMP%\nsrc9d4.tmp\usermgr.dll
- %TEMP%\nsrc9d4.tmp\stack.dll
- %TEMP%\nsrc9d4.tmp\nsexec.dll
- %TEMP%\nsrc9d4.tmp\killprocdll.dll
- %TEMP%\nsrc9d4.tmp\isvista.dll
- %TEMP%\nsrc9d4.tmp\dllwebcount120207.dll
- %TEMP%\nsrc9d4.tmp\dllwaitforkillprogram.dll
- %TEMP%\test.xml
- %TEMP%\nsrc9d4.tmp\xml.dll
- %TEMP%\nsma573.tmp\stringfind.dll
Самоудаляется.
Сетевая активность
Подключается к
- 'ap#.##camera.co.kr':80
- 'do##.#ncamera.co.kr':80
- 'aj##.#oogleapis.com':80
- 'dm###.daum.net':80
- 'sv#.##tionkey.net':80
- 'sa###ogin.kr':443
- 't1.##umcdn.net':80
- 'microsoft.com':80
TCP
Запросы HTTP GET
- http://ap#.##camera.co.kr/updatechk/getday.php
- http://www.an###era.co.kr/home/js/myotp2.js
- http://www.an###era.co.kr/home/js/event.js
- http://www.an###era.co.kr/home/js/slides.min.jquery.js
- http://www.an###era.co.kr/home/js/jquery.cookie.js
- http://www.an###era.co.kr/home/js/slider.js
- http://www.an###era.co.kr/home/js/follower.js
- http://www.an###era.co.kr/home/js/jquery.banner.js
- http://dm###.daum.net/map_js_init/postcode.v2.js
- http://t1.##umcdn.net/postcode/api/core/211103/1635999227231/211103.js
- http://sv#.##tionkey.net/static/js/cp/spKeyJoinProc_ebiz.js
- http://www.an###era.co.kr/home/css/common.css?ve#####
- http://www.an###era.co.kr/home/js/common.js?ve############
- http://aj##.#oogleapis.com/ajax/libs/jquery/1.6.2/jquery.min.js
- http://www.an###era.co.kr/
- http://www.an###era.co.kr/home/index.html?ve########
- http://ap#.##camera.co.kr/help/AnCamCoderInfo.php
- http://ap#.##camera.co.kr/updatechk/ancamcoder201407.php
- http://do##.#ncamera.co.kr/Antools/AntoolsUpdate_SetUp.exe
- http://www.an###era.co.kr/home/js/ajax.js
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Другие
- 'sa###ogin.kr':443
UDP
- DNS ASK ap#.##camera.co.kr
- DNS ASK do##.#ncamera.co.kr
- DNS ASK lo#.##sence.co.kr
- DNS ASK an###era.co.kr
- DNS ASK dm###.daum.net
- DNS ASK aj##.#oogleapis.com
- DNS ASK sa###ogin.kr
- DNS ASK sv#.##tionkey.net
- DNS ASK t1.##umcdn.net
- DNS ASK microsoft.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'AnCamcoder ¾÷µ¥ÀÌÆ®'
- ClassName: '' WindowName: '[¾È]ÄÍÄÚ´õ'
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\nsma573.tmp\antoolsupdate_setup.exe' /S
- '%ProgramFiles(x86)%\ahnsoft\ancamcorder\ancamcorderupdate.exe'
- '%ProgramFiles(x86)%\ahnsoft\ancamcorder\ancamcorder.exe' -s
- '%WINDIR%\syswow64\schtasks.exe' /create /tn:"AnToolUpdate ½ÇÇà " /xml "%TEMP%\test_saved.xml"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c \DelUS.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn:"AnToolUpdate ½ÇÇà " /xml "%TEMP%\test_saved.xml"
- '%WINDIR%\syswow64\cmd.exe' /c \DelUS.bat
