Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\O&O Defrag] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Ntfrs] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\netms.exe'
- '%TEMP%\coopen.exe'
- '%TEMP%\Compare.exe'
- '%TEMP%\Edit.exe'
- '%TEMP%\Thunder.exe'
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' delete "O&O Defrag"
- '<SYSTEM32>\sc.exe' stop "O&O Defrag"
- '<SYSTEM32>\sc.exe' description "O&O Defrag" "O&O WindowsґЕЕМЛйЖ¬ХыАнПа№ШіМРтЎЈ"
- '<SYSTEM32>\sc.exe' create "O&O Defrag" binpath= <SYSTEM32>\oodag.exe start= auto DisplayName= "O&O Defrag"
- '<SYSTEM32>\sc.exe' description Ntfrs "WindowsПµНіПа№ШіМРтЎЈУГУЪО¬»¤ФЪ¶аёц·юОсЖчН¬ІЅОДјюєНОДјюјРЎЈ"
- '<SYSTEM32>\sc.exe' stop Ntfrs
- '<SYSTEM32>\regsvr32.exe' /s "%PROGRAM_FILES%\Internet Explorer\Connection Wizard\QQZoneHelper.dll"
- '<SYSTEM32>\sc.exe' create Ntfrs binpath= <SYSTEM32>\ntfrs.exe start= auto DisplayName= "File Replication Service"
- '<SYSTEM32>\sc.exe' delete Ntfrs
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\FlashFXP]
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\oodag.exe
- <SYSTEM32>\ntfrs.exe
- <SYSTEM32>\netms.exe
- %TEMP%\nsz3.tmp\Banner.dll
- %TEMP%\nsk6.tmp\Banner.dll
- %PROGRAM_FILES%\Internet Explorer\Connection Wizard\QQZoneHelper.dll
- %TEMP%\nsk5.tmp
- %TEMP%\Edit.exe
- %TEMP%\Thunder.exe
- %TEMP%\out.exe
- %TEMP%\coopen.exe
- %TEMP%\nse2.tmp
- %TEMP%\Compare.exe
Удаляет следующие файлы:
- %TEMP%\coopen.exe
- %TEMP%\out.exe
- %TEMP%\Compare.exe
- %TEMP%\nsk6.tmp\Banner.dll
- %TEMP%\nsz3.tmp\Banner.dll
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
