Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nsm3.tmp\yxnto_70032.exe'
- '%TEMP%\nsm3.tmp\xiaowei_30350.exe'
- '%TEMP%\nsm3.tmp\SoHuVA_4.2.0.0-c204900009-ng-s-run-x.exe'
- '%TEMP%\nsm3.tmp\xiaowei_30350.exe' (загружен из сети Интернет)
- '%TEMP%\nsm3.tmp\SoHuVA_4.2.0.0-c204900009-ng-s-run-x.exe' (загружен из сети Интернет)
- '%TEMP%\nsm3.tmp\yxnto_70032.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsm3.tmp\SoHuVA_4.2.0.0-c204900009-ng-s-run-x.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\SoHuVA_4.0.0.73-c204900009-ng-s-run-x[1].txt
- %PROGRAM_FILES%\ffdyplay\back.htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\baiduweishi[1].gif
- %TEMP%\nsm3.tmp\xiaowei_30350.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\baidushadu[1].gif
- %TEMP%\nsm3.tmp\yxnto_70032.exe
- %HOMEPATH%\Start Menu\Programs\ffdyplay\Uninstall.lnk
- %TEMP%\nsm3.tmp\FindProcDLL.dll
- %TEMP%\nsh2.tmp
- %PROGRAM_FILES%\ffdyplay\uninst.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ff[1].htm
- %TEMP%\nsm3.tmp\inetc.dll
- %TEMP%\nsm3.tmp\System.dll
Сетевая активность:
Подключается к:
- 'pu########.#28ceb8923f4f.d01.nanoyun.com':80
- 'd.##dtw.com':80
- 'yu##.yyjdpm.net':80
TCP:
Запросы HTTP GET:
- pu########.#28ceb8923f4f.d01.nanoyun.com/baidushadu.gif
- pu########.#28ceb8923f4f.d01.nanoyun.com/baiduweishi.gif
- d.##dtw.com/exe/SoHuVA_4.0.0.73-c204900009-ng-s-run-x.txt
Запросы HTTP POST:
- yu##.yyjdpm.net/ff.php
UDP:
- DNS ASK pu########.#28ceb8923f4f.d01.nanoyun.com
- DNS ASK d.##dtw.com
- DNS ASK yu##.yyjdpm.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
