Техническая информация
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nskf1af.tmp
- %TEMP%\gmexec.dll
- %TEMP%\jjj.bat
- %TEMP%\somecmd.exe
- %TEMP%\zzz.tmp
- %TEMP%\nsff1df.tmp\nsexec.dll
- %TEMP%\nsff1df.tmp\nsf1ef.tmp
- %TEMP%\nsff1df.tmp\banner.dll
Удаляет следующие файлы
- %TEMP%\nsff1df.tmp\nsf1ef.tmp
- %TEMP%\nsff1df.tmp\banner.dll
- %TEMP%\nsff1df.tmp\nsexec.dll
- %TEMP%\zzz.tmp
- %TEMP%\somecmd.exe
- %TEMP%\gmexec.dll
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\nsff1df.tmp\nsf1ef.tmp' cmd /C "CD /D %temp% & rundll32.exe gmexec.dll,fngmexec"
- '%TEMP%\somecmd.exe' execmd jjj.bat
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C "CD /D %temp% & rundll32.exe gmexec.dll,fngmexec"
- '%WINDIR%\syswow64\rundll32.exe' gmexec.dll,fngmexec
- '%WINDIR%\syswow64\cmd.exe' /c jjj.bat (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s zzz.tmp
- '%TEMP%\nsff1df.tmp\nsf1ef.tmp' cmd /C "CD /D %temp% & rundll32.exe gmexec.dll,fngmexec" (со скрытым окном)
- '%TEMP%\somecmd.exe' execmd jjj.bat (со скрытым окном)
