Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{F2648D0C-0033-4E34-A0DA-473C42B0A99A}] 'Exec' = 'http://www.vogoo.net/?user='
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\Browser.exe' %CommonProgramFiles%\Drivers\Bin\odlwn.dll
- '<SYSTEM32>\Stat.exe' iemonhits
- '<SYSTEM32>\riwxf.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsj2.tmp\nsRandom.dll
- <SYSTEM32>\tslable.ini
- <SYSTEM32>\data.dsz
- <SYSTEM32>\AutoAD.exe
- <SYSTEM32>\data.ini
- %CommonProgramFiles%\Drivers\Bin\tsmfl.dll
- %TEMP%\nsr4.tmp\nsProcess.dll
- <SYSTEM32>\z.ico
- %TEMP%\nsr4.tmp\System.dll
- <SYSTEM32>\data.ldb
- %TEMP%\nsr4.tmp\AccessControl.dll
- %TEMP%\nsj2.tmp\System.dll
- %TEMP%\nsj2.tmp\AccessControl.dll
- <Текущая директория>\config.ini
- %TEMP%\nsj2.tmp\blowfish.dll
- %TEMP%\nsj2.tmp\nsProcess.dll
- <SYSTEM32>\config.ini
- <SYSTEM32>\Browser.exe
- <SYSTEM32>\Client_TB.exe
- <SYSTEM32>\tbword.szd
- <SYSTEM32>\Stat.exe
- <SYSTEM32>\IEMon.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\AutoAD.exe
Удаляет следующие файлы:
- %TEMP%\nsj2.tmp\nsRandom.dll
- %TEMP%\nsj2.tmp\System.dll
- <SYSTEM32>\data.ldb
- %TEMP%\nsj2.tmp\AccessControl.dll
- %TEMP%\nsj2.tmp\blowfish.dll
- %TEMP%\nsj2.tmp\nsProcess.dll
Перемещает следующие файлы:
- %CommonProgramFiles%\Drivers\Bin\tsmfl.dll в %CommonProgramFiles%\Drivers\Bin\odlwn.dll
- <SYSTEM32>\IEMon.exe в <SYSTEM32>\riwxf.exe
Сетевая активность:
Подключается к:
- 'co####.netbarad.net':80
TCP:
Запросы HTTP GET:
- co####.netbarad.net/homepagepic.aspx?us###############################
UDP:
- DNS ASK co####.netbarad.net
