Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\VVYbfgjl] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%CommonProgramFiles%\Microsoft Shared\MSInfo\NRVZfgko.exe'
- '%TEMP%\HELPCTR.EXE' -FromStartHelp
- '%TEMP%\360sd.exe'
- '%TEMP%\1.exe'
- '%TEMP%\2.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\HELPCTR.EXE
- %TEMP%\stinst.log
- <SYSTEM32>\5C440000.tmp
- %TEMP%\MSIMG32.dll
- %TEMP%\2.exe
- %TEMP%\1.exe
- %CommonProgramFiles%\Microsoft Shared\MSInfo\NRVZfgko.exe
- %TEMP%\360sd.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %CommonProgramFiles%\Microsoft Shared\MSInfo\NRVZfgko.exe
Удаляет следующие файлы:
- %TEMP%\HELPCTR.EXE
- %TEMP%\MSIMG32.dll
Сетевая активность:
Подключается к:
- 'hk####.no-ip.biz':7246
- 'cd#.##upload.com':80
TCP:
Запросы HTTP GET:
- cd#.##upload.com/down/823401/360sd.jpg
UDP:
- DNS ASK hk####.no-ip.biz
- DNS ASK .#.
- DNS ASK cd#.##upload.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'MS_WINHELP' WindowName: '(null)'
- ClassName: 'TAppBuilder' WindowName: '(null)'
