Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updater
Вредоносные функции
Создает и запускает на исполнение
- '%WINDIR%\installer\msi4a7.tmp' C:/Windows/System32/rundll32.exe %APPDATA%\tz6.dll, NvCreateMPEG4MuxSink
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\tz6.dll
- %APPDATA%\custom_update\update_eef80614.dll
- %TEMP%\msi12b5.log
Удаляет следующие файлы
- %APPDATA%\tz6.dll
Перемещает следующие файлы
- %APPDATA%\tz6.dll в %APPDATA%\tbd1413.tmp
Сетевая активность
Подключается к
- '85.##8.108.182':80
TCP
Запросы HTTP GET
- http://85.##8.108.182/CN.msi
Другое
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' %APPDATA%\tz6.dll, NvCreateMPEG4MuxSink
- '<SYSTEM32>\rundll32.exe' "%APPDATA%\Custom_update\Update_eef80614.dll", NvCreateMPEG4MuxSink (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {D71C097B-CF24-4D9C-82CF-555C0BC4BD4D} S-1-5-21-3150914307-1777937420-491476919-1000:nvpiphgp\user:Interactive:[1]
