Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'SbTool' = '"%ProgramFiles(x86)%\SbTool\SbTool.exe"'
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'SbTool' = '%ProgramFiles(x86)%\SbTool\SbTool.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsz1d12.tmp\nsprocess.dll
- %TEMP%\nsz1d12.tmp\uac.dll
- %ProgramFiles(x86)%\sbtool\sbtool.dll
- %ProgramFiles(x86)%\sbtool\sbtool.exe
- %TEMP%\nsz1d12.tmp\system.dll
- %ProgramFiles(x86)%\sbtool\uninstall.exe
- %TEMP%\nsz1d12.tmp\ipconfig.dll
- %TEMP%\nsz1d12.tmp\inetc.dll
Удаляет следующие файлы
- %TEMP%\nsz1d12.tmp\inetc.dll
- %TEMP%\nsz1d12.tmp\ipconfig.dll
- %TEMP%\nsz1d12.tmp\nsprocess.dll
- %TEMP%\nsz1d12.tmp\system.dll
- %TEMP%\nsz1d12.tmp\uac.dll
Самоудаляется.
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK sb####.moreinside.co.kr
- DNS ASK wi###o.co.kr
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\sbtool\sbtool.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /u /s "%ProgramFiles(x86)%\STool\STool.dll"
- '%WINDIR%\syswow64\regsvr32.exe' /u /s "%ProgramFiles(x86)%\WinPro\WinPro.dll"
- '%WINDIR%\syswow64\regsvr32.exe' /u /s "%ProgramFiles(x86)%\EasyOn\EasyOn.dll"
- '%WINDIR%\syswow64\regsvr32.exe' /s "%ProgramFiles(x86)%\SbTool\SbTool.dll" (со скрытым окном)
