Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wangame' = '%PROGRAM_FILES%\wangame\webzm.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Nywzazp] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\wangame\Nywzazp.exe'
- '%PROGRAM_FILES%\wangame\wangame.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\wangame\skin\y.bmp
- %PROGRAM_FILES%\wangame\skin\z.bmp
- %PROGRAM_FILES%\wangame\skin\±іѕ°.png
- %PROGRAM_FILES%\wangame\skin\toolbar_hover.png
- %PROGRAM_FILES%\wangame\skin\line1.bmp
- %PROGRAM_FILES%\wangame\skin\line2.bmp
- %PROGRAM_FILES%\wangame\skin\right.jpg
- %PROGRAM_FILES%\wangame\skin\ГАЕ®ЦчІҐ.png
- %TEMP%\nsq2.tmp\inetc.dll
- <DRIVERS>\Nywzazp.sys
- %HOMEPATH%\Desktop\НжН汦єР.lnk
- %PROGRAM_FILES%\wangame\skin\НшТіУОП·.png
- %PROGRAM_FILES%\wangame\skin\РЭПРУОП·.png
- %PROGRAM_FILES%\wangame\skin\УйАЦ°ЛШФ.png
- %PROGRAM_FILES%\wangame\Nywzazp.exe
- %PROGRAM_FILES%\wangame\ico.ico
- %PROGRAM_FILES%\wangame\uninst.exe
- %PROGRAM_FILES%\wangame\Config.ini
- %TEMP%\nsq2.tmp\System.dll
- %HOMEPATH%\Start Menu\Programs\НжН汦єР\Р¶ФШ НжН汦єР.lnk
- %HOMEPATH%\Start Menu\Programs\НжН汦єР\НжН汦єР.lnk
- %PROGRAM_FILES%\wangame\update.exe
- %PROGRAM_FILES%\wangame\skin\center.jpg
- %PROGRAM_FILES%\wangame\skin\left.jpg
- %PROGRAM_FILES%\wangame\skin\line.bmp
- %PROGRAM_FILES%\wangame\skin\bj.jpg
- %PROGRAM_FILES%\wangame\wangame.exe
- %PROGRAM_FILES%\wangame\webzm.exe
- %PROGRAM_FILES%\wangame\skin\SubWnd.png
Сетевая активность:
UDP:
- DNS ASK l1.##0food.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
