Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\Cad.Document\shell\open\command] '' = '<LS_APPDATA>\NVIDIA Corporation\Update\nvupd32.exe "%1"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\NvUpdSrv] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\NVIDIA Corporation\Update\nvupd32.exe'
- '<LS_APPDATA>\NVIDIA Corporation\Update\nvupd32.exe' /svc
Изменения в файловой системе:
Создает следующие файлы:
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\networksecurityx.hopto[1]
- %WINDIR%\Temp\m_editerror.tmp
- <LS_APPDATA>\NVIDIA Corporation\Update\nvupd32.exe
- %TEMP%\nss2.tmp
- %TEMP%\nsx3.tmp\System.dll
Удаляет следующие файлы:
- %TEMP%\nsx3.tmp\System.dll
Сетевая активность:
Подключается к:
- 'ct##.fvgd.biz':8000
- 'an##.axvf.biz':8000
- 'dv##.fvgd.biz':8000
- 'wk##.axvf.biz':8000
- 'localhost':1036
- 'ne######ecurityx.hopto.org':80
- 'bh##.ethv.biz':8000
TCP:
Запросы HTTP GET:
- ne######ecurityx.hopto.org/
UDP:
- DNS ASK xd##.ethv.biz
- DNS ASK bw##.fvgd.biz
- DNS ASK lv##.fvgd.biz
- DNS ASK yn##.ethv.biz
- DNS ASK mt##.fvgd.biz
- DNS ASK vy##.axvf.biz
- DNS ASK dv##.fvgd.biz
- DNS ASK wk##.axvf.biz
- DNS ASK bh##.ethv.biz
- DNS ASK ne######ecurityx.hopto.org
- DNS ASK yw##.fvgd.biz
- DNS ASK an##.axvf.biz
- DNS ASK ct##.fvgd.biz
