Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'bluch' = '%ProgramFiles(x86)%\bluch\bluchup.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nst756e.tmp
- %TEMP%\nsy758e.tmp\iekill.dll
- %TEMP%\nsy758e.tmp\killprocdll.dll
- %ProgramFiles(x86)%\bluch\bluch.dll
- %ProgramFiles(x86)%\bluch\bluchup.exe
- %ProgramFiles(x86)%\bluch\domainrefer.ini
- %ProgramFiles(x86)%\bluch\keycode.ini
- %ProgramFiles(x86)%\bluch\uninstall.exe
- %TEMP%\nsy758e.tmp\dllwebcount.dll
- %TEMP%\nsy758e.tmp\selfdelete.dll
- C:\delus.bat
Удаляет следующие файлы
- %TEMP%\nsy758e.tmp\dllwebcount.dll
- %TEMP%\nsy758e.tmp\iekill.dll
- %TEMP%\nsy758e.tmp\killprocdll.dll
- %TEMP%\nsy758e.tmp\selfdelete.dll
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ib###chip.kr
Другое
Ищет следующие окна
- ClassName: 'IEFrame' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\bluch\bluchup.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c \DelUS.bat (со скрытым окном)
