Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\hpinstall.exe' /hp="http://www.Al####y.com?sr#####"
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
- chrome.exe
- iexplore.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\sqlite3.dll
- %TEMP%\install.ico
- %TEMP%\nsv4.tmp\System.dll
- %TEMP%\tmp
- %TEMP%\nsv4.tmp\nsJSON.dll
- %TEMP%\nsv4.tmp\KillProc.dll
- %TEMP%\Tim_Pub_Nam_Pro_Aff_Cco.exe
- %TEMP%\nsh2.tmp\nsisXML.dll
- %TEMP%\install_config.dat
- %TEMP%\nsh2.tmp\NSISdl.dll
- %TEMP%\links.exe
- %TEMP%\hpinstall.exe
- %TEMP%\nsh2.tmp\Processes.dll
Удаляет следующие файлы:
- %TEMP%\tmp
- %TEMP%\Tim_Pub_Nam_Pro_Aff_Cco.exe
- %TEMP%\links.exe
- %TEMP%\nsh2.tmp\Processes.dll
- %TEMP%\nsh2.tmp\nsisXML.dll
- %TEMP%\nsh2.tmp\NSISdl.dll
- %TEMP%\nsv4.tmp\KillProc.dll
- %TEMP%\install.ico
- %TEMP%\sqlite3.dll
- %TEMP%\hpinstall.exe
- %TEMP%\nsv4.tmp\System.dll
- %TEMP%\nsv4.tmp\nsJSON.dll
Сетевая активность:
Подключается к:
- 'www.go#####analytics.com':80
- 'www.in####lgenius.com':80
TCP:
Запросы HTTP GET:
- www.in####lgenius.com/installer/getdata.php?wt######
UDP:
- DNS ASK www.go#####analytics.com
- DNS ASK www.in####lgenius.com
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'Shell_TrayWnd'
