Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~nsu.tmp\au_.exe
- %TEMP%\nsva1ea.tmp\killprocdll.dll
- %TEMP%\nsva1ea.tmp\dllwaitforkillprogram.dll
- %TEMP%\nsva1ea.tmp\getversion.dll
- %TEMP%\nsva1ea.tmp\nsexec.dll
- %TEMP%\nsva1ea.tmp\nsa362.tmp
- %TEMP%\nsva1ea.tmp\dllwebcount.dll
Удаляет файлы, которые сам же создал
- %TEMP%\nsva1ea.tmp\nsa362.tmp
Самоудаляется.
Сетевая активность
Подключается к
- 'sm###tip.co.kr':80
TCP
Запросы HTTP GET
- http://sm###tip.co.kr/mmsv/Access3.php?My####################################################
UDP
- DNS ASK sm###tip.co.kr
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\~nsu.tmp\au_.exe' _?=<Текущая директория>\
- '%TEMP%\nsva1ea.tmp\nsa362.tmp' schtasks /delete /tn STSTART /F
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /delete /tn STSTART /F
- '%TEMP%\nsva1ea.tmp\nsa362.tmp' schtasks /delete /tn STSTART /F (со скрытым окном)
