Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\SrvUpdater] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\SoftwareUpdater\UpdaterService.exe'
- '%TEMP%\nsa2.tmp\ns3.tmp' taskkill /f /im AppsUpdater.exe
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im AppsUpdater.exe
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\SoftwareUpdater\translations.xml
- %PROGRAM_FILES%\SoftwareUpdater\KeyGen.dll
- %PROGRAM_FILES%\SoftwareUpdater\Interop.Shell32.dll
- %TEMP%\nsa2.tmp\nsURL.dll
- %PROGRAM_FILES%\SoftwareUpdater\uninstall.exe
- %PROGRAM_FILES%\SoftwareUpdater\UpdaterService.exe
- %PROGRAM_FILES%\SoftwareUpdater\AppsUpdater.exe
- %PROGRAM_FILES%\SoftwareUpdater\AppsUpdater.exe.config
- %TEMP%\nsa2.tmp\nsExec.dll
- %TEMP%\nsa2.tmp\SimpleSC.dll
- %TEMP%\nsa2.tmp\System.dll
- %TEMP%\nsa2.tmp\ns3.tmp
- %PROGRAM_FILES%\SoftwareUpdater\config.xml
- %TEMP%\nsa2.tmp\tkDecript.dll
Удаляет следующие файлы:
- %TEMP%\nsa2.tmp\SimpleSC.dll
- %TEMP%\nsa2.tmp\System.dll
- %TEMP%\nsa2.tmp\tkDecript.dll
- %TEMP%\nsa2.tmp\ns3.tmp
- %TEMP%\nsa2.tmp\nsExec.dll
- %TEMP%\nsa2.tmp\nsURL.dll
Сетевая активность:
Подключается к:
- 'up#.#pd4ter.com':80
TCP:
Запросы HTTP GET:
- up#.#pd4ter.com/cmd/report.php?ke####################################################
- up#.#pd4ter.com/cmd/api.php?ac##########################
UDP:
- DNS ASK up#.#pd4ter.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
