Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nst3.tmp\CnetInstaller-10544467.exe' /home "<Текущая директория>" /ts 1416701968
- '%TEMP%\nst3.tmp\CnetInstaller-10544467.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="proinstaller1217" program="%TEMP%\nst3.tmp\CnetInstaller-10544467.exe" dir=in action=allow enable=yes
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="proinstaller1217" program="%TEMP%\nst3.tmp\CnetInstaller-10544467.exe" dir=out action=allow enable=yes
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nst3.tmp\CnetInstaller-10544467.exe
- %TEMP%\nst3.tmp\nsRandom.dll
- %TEMP%\nst3.tmp\ping
- %TEMP%\nst3.tmp\inetca.dll
- %TEMP%\nsd2.tmp
- %TEMP%\nst3.tmp\UserInfo.dll
- %TEMP%\nst3.tmp\System.dll
Удаляет следующие файлы:
- %TEMP%\nst3.tmp\ping
- %TEMP%\nst3.tmp\System.dll
- %TEMP%\nst3.tmp\UserInfo.dll
- %TEMP%\nst3.tmp\CnetInstaller-10544467.exe
- %TEMP%\nst3.tmp\inetca.dll
- %TEMP%\nst3.tmp\nsRandom.dll
Сетевая активность:
Подключается к:
- 'www.re#####ng-download.com':80
TCP:
Запросы HTTP GET:
- www.re#####ng-download.com/images/pixel.gif?sr################################################
- www.re#####ng-download.com/advplatform/CnetInstaller.exe?ap############
UDP:
- DNS ASK www.re#####ng-download.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
