Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\ms.job
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\regsvr32.exe /u /s "<SYSTEM32>\1dl3.dll"
- <SYSTEM32>\regsvr32.exe /u /s "<SYSTEM32>\0dde.dll"
- <SYSTEM32>\rundll32.exe <SYSTEM32>\fee3.dll,Always
- <SYSTEM32>\regsvr32.exe /s "<SYSTEM32>\1dl3.dll"
- <SYSTEM32>\regsvr32.exe /u /s "<SYSTEM32>\8ed3.dll"
- <SYSTEM32>\regsvr32.exe /u /s "<SYSTEM32>\63b0.dll"
- <SYSTEM32>\regsvr32.exe /u /s "<SYSTEM32>\36b1.dll"
- <SYSTEM32>\regsvr32.exe /u /s "<SYSTEM32>\6eif.dll"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\1dl3.dll
- %WINDIR%\68d3.bmp
- %WINDIR%\d3e0.exe
- <SYSTEM32>\83-105-7163
- <SYSTEM32>\02afc
- <SYSTEM32>\fee3.dll
- %TEMP%\player.dll
- %TEMP%\nsd2.tmp
- %TEMP%\_Inst.dll
- %TEMP%\nsp3.tmp\System.dll
- %TEMP%\bho.dll
Удаляет следующие файлы:
- %TEMP%\nsp3.tmp\System.dll
Сетевая активность:
Подключается к:
- '12#.##0304123.cn':80
UDP:
- DNS ASK 12#.##0304123.cn
- DNS ASK ya###.com.cn
