Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'autoauto' = '23407683.bat'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\a\internetport3.exe'
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /im firefox.exe
- '<SYSTEM32>\taskkill.exe' /im chrome.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyOverride' = '<-loopback>'
- [<HKLM>\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings] 'ProxyEnable' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyEnable' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyServer' = 'http=127.0.0.1:8877;https=127.0.0.1:8877;'
Изменения в файловой системе:
Создает следующие файлы:
- C:\a\internetport3.exe
- C:\a\FiddlerCore.dll
- %TEMP%\nsb2.tmp\ZipDLL.dll
- C:\a\.exe
- C:\a\ver.ini
- %TEMP%\nsb2.tmp\inetc.dll
- %TEMP%\nsb2.tmp\AccessControl.dll
- %TEMP%\nsb2.tmp\System.dll
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\user.js
- <SYSTEM32>\23407683.bat
- C:\a\76785300.bat
- C:\a\74899446.zip
Удаляет следующие файлы:
- %TEMP%\nsb2.tmp\System.dll
- %TEMP%\nsb2.tmp\ZipDLL.dll
- %TEMP%\nsb2.tmp\AccessControl.dll
- %TEMP%\nsb2.tmp\inetc.dll
Сетевая активность:
Подключается к:
- 'wp#d':80
- 'localhost':8877
- 'do###.dotdo.net':80
TCP:
Запросы HTTP GET:
- do###.dotdo.net/act/exes4/23407683-76785300-74899446-81567188-.exe
- wp#d/wpad.dat
- do###.dotdo.net/act/ver7.ini?v=######
UDP:
- DNS ASK wp#d
- DNS ASK do###.dotdo.net
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Chrome_WidgetWin_0' WindowName: ''
