Техническая информация
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://tj.loader.cpadown.com:8080/alltj.html?setup
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsle64a.tmp
- %TEMP%\nsfe6c7.tmp\system.dll
- %TEMP%\temp.ini
- %TEMP%\uninst.exe
- %TEMP%\nsqe9c3.tmp
- %TEMP%\~nsu.tmp\au_.exe
- %TEMP%\nslf0a6.tmp
Удаляет следующие файлы
- %TEMP%\nsfe6c7.tmp\system.dll
- %TEMP%\uninst.exe
- %TEMP%\temp.ini
Самоудаляется.
Сетевая активность
UDP
- DNS ASK tj.####er.cpadown.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'Static' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\uninst.exe'
- '%TEMP%\~nsu.tmp\au_.exe' _?=%TEMP%\
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://tj.loader.cpadown.com:8080/alltj.html?setup' (со скрытым окном)
