Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\HssInstaller.exe' -iswow64
- '%TEMP%\tapinstall.exe' -preinstall
- '%APPDATA%\Hotspot Shield\report\af_proxy_cmd_rep.exe' -H hash -O -T it -o 7 -u http://rp##.#nchorfree.net/wr-install.php?dm######################################
- '%TEMP%\1.tmp\setup.exe' /S
- '%APPDATA%\Hotspot Shield\report\af_proxy_cmd_rep.exe' -P -H hash -O -T it -o 7 -u "http://rp##.#nchorfree.net/wr-install.php?dm######################################"
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\mode.com' CON: COLS=14 LINES=1
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\install.CMD" "
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nse3.tmp\ExecDos.dll
- %APPDATA%\Hotspot Shield\report\zlib1.dll
- %APPDATA%\Hotspot Shield\report\af_proxy.dll
- %TEMP%\tapinstall.exe
- %TEMP%\HssInstaller.exe
- %TEMP%\nse3.tmp\nsisos.dll
- %APPDATA%\Hotspot Shield\report\af_proxy_cmd_rep.exe
- %TEMP%\1.tmp\License.msi
- %TEMP%\1.tmp\setup.exe
- %TEMP%\1.tmp\install.CMD
- %TEMP%\nse3.tmp\nsProcess.dll
- %TEMP%\nse3.tmp\System.dll
- %TEMP%\nse3.tmp\UserInfo.dll
Удаляет следующие файлы:
- %TEMP%\HssInstaller.exe
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'rp##.#nchorfree.net':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- rp##.#nchorfree.net/wr-install.php?Nh####################################################################################################
UDP:
- DNS ASK rp##.#nchorfree.net
