Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\ntvdm.exe' -i1
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\io.io
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\UEWNTWLX\bundle_check[1]
- %TEMP%\nsu9B2.tmp\Logo.jpg
- %TEMP%\Google-Chrome-32-0.exe.exe
- %TEMP%\scs1249.tmp
- %TEMP%\scs1110.tmp
- %HOMEPATH%\Desktop\Google-Chrome-32-0.exe.exe
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YIF7DGLM\eNoNw1EKwyAMXDDQu_RfYyZ0q_vYUUoqLhWqCSp07PTtg9cDogvTPoYGgO4tFfpLpbPbKAW6fMdJLZGq0SZw50ZlzVFqhwVBWuZcXOlcMBbhI5m4NynJbGmQcQ-Dzv3uVit_0L8WPz9n9NP7AsnUXCey[1].jpg
- %TEMP%\nsu9B2.tmp\smsplus.jpg
- %TEMP%\nsu9B2.tmp\Banner.dll
- %TEMP%\nsf9A2.tmp
- %TEMP%\nsu9B2.tmp\PayloadReader.dll
- %TEMP%\nsu9B2.tmp\inetc.dll
- %TEMP%\nsu9B2.tmp\Config.ini
- %TEMP%\nsu9B2.tmp\System.dll
Удаляет следующие файлы:
- %TEMP%\nsu9B2.tmp\System.dll
- %TEMP%\nsu9B2.tmp\smsplus.jpg
- %TEMP%\scs1249.tmp
- %TEMP%\scs1110.tmp
- %TEMP%\nsu9B2.tmp\PayloadReader.dll
- %TEMP%\nsu9B2.tmp\Config.ini
- %TEMP%\nsu9B2.tmp\Banner.dll
- %TEMP%\nsu9B2.tmp\Logo.jpg
- %TEMP%\nsu9B2.tmp\inetc.dll
Сетевая активность:
Подключается к:
- 'cd#.###mdelivery.com':80
- 'do####ad.file3k.com':80
TCP:
Запросы HTTP GET:
- do####ad.file3k.com/file3k/bundle_check?to########################
- do####ad.file3k.com/img/img2jpg100x100/eNoNw1EKwyAMXDDQu_RfYyZ0q_vYUUoqLhWqCSp07PTtg9cDogvTPoYGgO4tFfpLpbPbKAW6fMdJLZGq0SZw50ZlzVFqhwVBWuZcXOlcMBbhI5m4NynJbGmQcQ-Dzv3uVit_0L8WPz9n9NP7AsnUXCey.jpg
Запросы HTTP POST:
- cd#.###mdelivery.com/?ic############
UDP:
- DNS ASK cd#.###mdelivery.com
- DNS ASK do####ad.file3k.com
Другое:
Ищет следующие окна:
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-3d4.a54.668'
- ClassName: 'Shell_TrayWnd' WindowName: ''
