Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] '%ProgramFiles%\Nwiz Drivers\nwiz.exe' = '%ProgramFiles%\Nwiz Drivers\nwiz.exe'
Вредоносные функции
Ищет следующие окна с целью
обнаружения различных программ и игр:
- ClassName: 'TibiaClient', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\dat.exe
- %WINDIR%\unrar.exe
- %WINDIR%\ulg.exe
- %ProgramFiles%\nwiz drivers\nwiz.exe
Сетевая активность
Подключается к
- 'mo#####.map.fastly.net':443
UDP
- DNS ASK mo#####.map.fastly.net
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\unrar.exe' e -o- -pJA*@)A*#R$Srf1f$#112d dat.exe
- '%WINDIR%\ulg.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c start /min <SYSTEM32>\cmd.exe /c "cd /d %WINDIR%&unrar.exe e -o- -pJA*@)A*#R$Srf1f$#112d dat.exe&start ulg.exe&del unrar.exe
- '%WINDIR%\syswow64\cmd.exe' /c "cd /d %WINDIR%&unrar.exe e -o- -pJA*@)A*#R$Srf1f$#112d dat.exe&start ulg.exe&del unrar.exe
