Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im AppsUpd4ter.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsp83c0.tmp\system.dll
- %TEMP%\nsp83c0.tmp\nsexec.dll
- %TEMP%\nsp83c0.tmp\nsurl.dll
Удаляет следующие файлы
- %TEMP%\nsp83c0.tmp\nsexec.dll
- %TEMP%\nsp83c0.tmp\nsurl.dll
- %TEMP%\nsp83c0.tmp\system.dll
Сетевая активность
Подключается к
- 'up#.#pd4ter.com':80
UDP
- DNS ASK up#.#pd4ter.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' stop SrvUpdater' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' delete SrvUpdater' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /f /im AppsUpd4ter.exe' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Delete /tn "Google Update" /F' (со скрытым окном)
- '%WINDIR%\syswow64\wbem\wmic.exe' /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct Get displayName /FORMAT:textvaluelist.xsl' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' stop SrvUpdater
- '%WINDIR%\syswow64\sc.exe' delete SrvUpdater
- '%WINDIR%\syswow64\schtasks.exe' /Delete /tn "Google Update" /F
- '%WINDIR%\syswow64\wbem\wmic.exe' /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct Get displayName /FORMAT:textvaluelist.xsl
