Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\winshow
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsj951e.tmp
- %TEMP%\nsz952f.tmp\system.dll
- %TEMP%\nsz952f.tmp\math.dll
- %APPDATA%\winshownh\category.dt
- %APPDATA%\winshownh\nhopen.dll
- %APPDATA%\winshownh\winshow.exe
- %TEMP%\nsz952f.tmp\dllwebcount.dll
- %APPDATA%\winshownh\uninstall.exe
- %TEMP%\nsz952f.tmp\selfdelete.dll
- C:\delus.bat
Удаляет следующие файлы
- %TEMP%\nsz952f.tmp\dllwebcount.dll
- %TEMP%\nsz952f.tmp\math.dll
- %TEMP%\nsz952f.tmp\selfdelete.dll
- %TEMP%\nsz952f.tmp\system.dll
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ev###get.co.kr
- DNS ASK ad#.#dgod.co.kr
Другое
Ищет следующие окна
- ClassName: 'TAD_UpdateMainForm' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\winshownh\winshow.exe' /i /a
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c \DelUS.bat (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /query /tn winshow (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /tn winshow /tr "\"%APPDATA%\WinShowNH\winshow.exe"" /f /sc onlogon /rl highest (со скрытым окном)
