Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nsg3.tmp\ef.exe' "%TEMP%\nsg3.tmp\inetc.dll" -1016
- '%TEMP%\nsg3.tmp\pp.exe' /pid=1016
- '%TEMP%\nsg3.tmp\ns5.tmp' %TEMP%\nsg3.tmp\ef.exe "%TEMP%\nsg3.tmp\inetc.dll" -1016
- '%TEMP%\nsg3.tmp\ns4.tmp' %TEMP%\nsg3.tmp\mf.exe "%TEMP%\nsg3.tmp\inetc.dll"
- '%TEMP%\nsg3.tmp\mf.exe' "%TEMP%\nsg3.tmp\inetc.dll"
- '%TEMP%\nsg3.tmp\pp.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsg3.tmp\inetc.dll.out
- %TEMP%\nsg3.tmp\ns4.tmp
- %TEMP%\nsg3.tmp\pp.exe
- %TEMP%\nsg3.tmp\ns5.tmp
- %TEMP%\nsg3.tmp\ef.exe
- %TEMP%\nsg3.tmp\mf.exe
- %TEMP%\nsg3.tmp\System.dll
- %TEMP%\nsw2.tmp
- %TEMP%\nsg3.tmp\nsExec.dll
- %TEMP%\nsg3.tmp\inetc.dll.out1
- %TEMP%\nsg3.tmp\inetc.dll.out0
Удаляет следующие файлы:
- %TEMP%\nsg3.tmp\inetc.dll.out1
- %TEMP%\nsg3.tmp\inetc.dll.out0
- %TEMP%\nsg3.tmp\nsExec.dll
- %TEMP%\nsg3.tmp\System.dll
- %TEMP%\nsg3.tmp\pp.exe
- %TEMP%\nsg3.tmp\mf.exe
- %TEMP%\nsg3.tmp\ns4.tmp
- %TEMP%\nsg3.tmp\ns5.tmp
- %TEMP%\nsg3.tmp\ef.exe
- %TEMP%\nsg3.tmp\inetc.dll
Перемещает следующие файлы:
- %TEMP%\nsg3.tmp\inetc.dll.out в %TEMP%\nsg3.tmp\inetc.dll
Сетевая активность:
Подключается к:
- 'www.wi###weak.com':80
TCP:
Запросы HTTP GET:
- www.wi###weak.com/downloads/pp.exe?s=####
UDP:
- DNS ASK www.wi###weak.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
