Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'InfoInstall' = '%APPDATA%\InfoInstall\InfoInstall.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nstdf96.tmp\system.dll
- %TEMP%\nstdf96.tmp\inetc.dll
- %APPDATA%\infoinstall\fileoperation.dll
- %APPDATA%\infoinstall\infoinstall.exe
- %APPDATA%\infoinstall\newtonsoft.json.dll
- %TEMP%\nstdf96.tmp\litefirewall.dll
- %APPDATA%\infoinstall\uninstall.exe
- %TEMP%\content.dat
- %TEMP%\b4cf7669-4440-4d86-bbf2-249344d67015.exe
- %TEMP%\nsd87b6.tmp
- %TEMP%\nsd87b7.tmp\nsprocess.dll
- %TEMP%\nsd87b7.tmp\inetc.dll
- %TEMP%\setup.exe
Удаляет следующие файлы
- %TEMP%\nstdf96.tmp\inetc.dll
- %TEMP%\nstdf96.tmp\litefirewall.dll
- %TEMP%\nstdf96.tmp\system.dll
Сетевая активность
Подключается к
- 'st#####ontentfiles.info':57120
- 'bo####winner.xyz':80
TCP
Запросы HTTP GET
- http://st#######tentfiles.info:57120/whatismyip?ui################################################################################### via st#####ontentfiles.info
- http://st#######tentfiles.info:57120/static/E03605A4-0665-407E-A1F9-914BE6BF19FC/content.dat via st#####ontentfiles.info
- http://bo####winner.xyz/16/huge.dat
Запросы HTTP POST
- http://st#######tentfiles.info:57120/ia via st#####ontentfiles.info
UDP
- DNS ASK st#####ontentfiles.info
- DNS ASK bo####winner.xyz
Другое
Создает и запускает на исполнение
- '%APPDATA%\infoinstall\infoinstall.exe'
- '%TEMP%\b4cf7669-4440-4d86-bbf2-249344d67015.exe' /sid= /pid=
- '%TEMP%\setup.exe'
- '%TEMP%\b4cf7669-4440-4d86-bbf2-249344d67015.exe' /sid= /pid=' (со скрытым окном)
