Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{d6omds2q-okcx-tdqe-jcwu-a4gi0z0e3iwp}] 'stubpath' = '<SYSTEM32>\incrjzdkv.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\nateon.exe
- %WINDIR%\syswow64\incrjzdkv.exe
- C:\server.exe
- C:\5.exe
- C:\alyac.aye
- C:\1.exe
- C:\ayagent.aye
- C:\2.exe
- C:\upgrader.exe
- C:\aytask.aye
- %LOCALAPPDATA%\sk communications\nateon\temp\nateon.exe
- %LOCALAPPDATA%\sk communications\nateon\temp\nateon.cab
- %WINDIR%\syswow64\incrjzdkv.exe_lang.ini
- C:\3.exe
- C:\4.exe
- C:\ayhost.aye
- C:\6.exe
- C:\aypatch.aye
- C:\7.exe
- C:\aylaunch.exe
- C:\8.exe
- C:\ayshell.aye
- C:\9.exe
- C:\ayrtsrv.aye
- C:\10.exe
- C:\ayupdsrv.aye
- %TEMP%\660258_res.tmp
Удаляет следующие файлы
- C:\server.exe
Перемещает следующие файлы
- %TEMP%\660258_res.tmp в %TEMP%\660258_lang.dll
Сетевая активность
Подключается к
- 'dp#.#ate.com':5004
- 'na#####ownload.nate.com':80
- 'localhost':2554
TCP
Запросы HTTP GET
- http://na#####ownload.nate.com/Upgrade/Upgrade_file50/ko.windows_upgrader.cab
Другие
- 'dp#.#ate.com':5004
UDP
- DNS ASK dp#.#ate.com
- DNS ASK na#####ownload.nate.com
- DNS ASK ck####6.codns.com
Другое
Создает и запускает на исполнение
- 'C:\nateon.exe'
- 'C:\10.exe'
- 'C:\9.exe'
- 'C:\8.exe'
- 'C:\aylaunch.exe'
- 'C:\7.exe'
- 'C:\6.exe'
- 'C:\4.exe'
- 'C:\3.exe'
- 'C:\2.exe'
- 'C:\1.exe'
- 'C:\5.exe'
- 'C:\server.exe'
- '%WINDIR%\syswow64\incrjzdkv.exe' ZhuDongdelC:\server.exe
