Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Runonce] 'cmdrun' = 'cmd.exe /C ipconfig /flushdns'
Подменяет следующие исполняемые системные файлы
- <SYSTEM32>\dnsapi.dll файлом <SYSTEM32>\dnsapi.dll
- %WINDIR%\SysWOW64\dnsapi.dll файлом %WINDIR%\syswow64\dnsapi.dll
Заражает следующие исполняемые файлы
- <SYSTEM32>\dnsapi.dll
- %WINDIR%\syswow64\dnsapi.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsxb4b6.tmp
- %TEMP%\nsxb4c7.tmp\system.dll
- %TEMP%\nsxb4c7.tmp\stdutils.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\jiagredohqaii.exe
- %LOCALAPPDATA%\tempfolder\ogicrhno\fatgoke.dat
- %LOCALAPPDATA%\tempfolder\ogicrhno\freebl3.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\libnspr4.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\libplc4.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\libplds4.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\nss3.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\nssckbi.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\nssdbm3.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\nssutil3.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\smime3.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\softokn3.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\sqlite3.dll
- %LOCALAPPDATA%\tempfolder\ogicrhno\ssl3.dll
- %APPDATA%\ortmp\uninstaller.exe
- <SYSTEM32>\lar\kisa\hhel.dat
Перемещает следующие системные файлы
- <SYSTEM32>\dnsapi.dll в %TEMP%\ds22022.bin
- %WINDIR%\syswow64\dnsapi.dll в %TEMP%\ds32746.bin
Другое
Добавляет корневой сертификат
Создает и запускает на исполнение
- '%LOCALAPPDATA%\tempfolder\ogicrhno\jiagredohqaii.exe'
