Trojan.DownLoader11.61613

Техническая информация

Вредоносные функции:

Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:

[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:NexCafй Servidor'

Изменения в файловой системе:

Создает следующие файлы:

<Текущая директория>\dados\TipoPass.nx1
<Текущая директория>\dados\TipoAcesso.nx1
<Текущая директория>\dados\Credito.nx1
<Текущая директория>\dados\Tran.nx1
<Текущая директория>\dados\plusP.nx1
<Текущая директория>\dados\plusTran.nx1
<Текущая директория>\dados\Usuario.nx1
<Текущая директория>\dados\Tarifa.nx1
<Текущая директория>\dados\Ocupacao.nx1
<Текущая директория>\dados\MsgCli.nx1
<Текущая директория>\dados\MovEst.nx1
<Текущая директория>\dados\Pacote.nx1
<Текущая директория>\dados\Sessao.nx1
<Текущая директория>\dados\Produto.nx1
<Текущая директория>\dados\Passaporte.nx1
<Текущая директория>\dados\plusT.nx1
<Текущая директория>\dados\RecDel.nx1
<Текущая директория>\dados\syslog.nx1
<Текущая директория>\dados\Orcamento.nx1
<Текущая директория>\dados\$SQL$PROCEDURES.nx1
<Текущая директория>\dados\$SQL$TRIGGERS.nx1
<Текущая директория>\dados\$SQL$FUNCTIONS.nx1
<Текущая директория>\dados\$SQL$VIEWS.nx1
<Текущая директория>\dados\IOrcamento.nx1
<Текущая директория>\dados\temp.nx1
<Текущая директория>\dados\prodd.nx1
<Текущая директория>\dados\infoCampanha.nx1
<Текущая директория>\dados\Post.nx1
<Текущая директория>\dados\PagEspecies.nx1
<Текущая директория>\dados\Especie.nx1
<Текущая директория>\dados\Unidade.nx1
<Текущая директория>\dados\CC.nx1
<Текущая директория>\dados\Categoria.nx1
<Текущая директория>\dados\Caixa.nx1
<Текущая директория>\dados\Chat.nx1
<Текущая директория>\dados\Config.nx1
<Текущая директория>\dados\Cliente.nx1
<Текущая директория>\dados\CHorario.nx1
<Текущая директория>\dados\Biometria.nx1
<Текущая директория>\dados\Label.nx1
<Текущая директория>\ssleay32.dll
<Текущая директория>\libeay32.dll
<Текущая директория>\nexserv.ini
<Текущая директория>\dados\nxTrans.cfg
<Текущая директория>\$SERVER$Users.nx1
<Текущая директория>\nxTrans.cfg
<Текущая директория>\dados\Debito.nx1
<Текущая директория>\dados\ITran.nx1
<Текущая директория>\dados\HTar.nx1
<Текущая директория>\dados\HPass.nx1
<Текущая директория>\dados\Layout.nx1
<Текущая директория>\dados\Maquina.nx1
<Текущая директория>\dados\Maq.nx1
<Текущая директория>\dados\Log.nx1
<Текущая директория>\dados\HCred.nx1
<Текущая директория>\dados\EmailEnvio.nx1
<Текущая директория>\dados\EmailCriar.nx1
<Текущая директория>\dados\EmailCorpo.nx1
<Текущая директория>\dados\Espera.nx1
<Текущая директория>\dados\Label_Backup.nx1
<Текущая директория>\dados\_REST.nx1
<Текущая директория>\dados\ETar.nx1

Удаляет следующие файлы:

<Текущая директория>\dados\Label_Backup.nx1

Перемещает следующие файлы:

<Текущая директория>\dados\_REST.nx1 в <Текущая директория>\dados\Label.nx1
<Текущая директория>\dados\Label.nx1 в <Текущая директория>\dados\Label_Backup.nx1

Сетевая активность:

Подключается к:

'pl##.#excafe.com.br':80
'co####.nextar.com.br':80
'se###.#pi.nextar.com':80

TCP:

Запросы HTTP GET:

pl##.#excafe.com.br/api/produtos/?ke##################################################################################################################################
pl##.#excafe.com.br/api/adesoes/?ac###########################################################################################################################################
pl##.#excafe.com.br/api/parceiros/?ke##################################################################################################################################
se###.#pi.nextar.com/?co##########################################
pl##.#excafe.com.br/api/tokenplus/get/

Запросы HTTP POST: