Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WinMediaCenter] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\NSE2.exe'
Запускает на исполнение:
- '%WINDIR%\sleep.exe' 7
- '<SYSTEM32>\attrib.exe' -h "%TEMP%\NSE2.exe"
- '<SYSTEM32>\attrib.exe' -s "del /Q /a "s"\*.*
- '<SYSTEM32>\svchost.exe' -k wupagent
- '<SYSTEM32>\cmd.exe' /c %TEMP%\\Deleteme.bat
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Deleteme.bat
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\rconn[1].jpg
- %WINDIR%\Temp\cat.jpg
- <SYSTEM32>\wupdagnt.dll
- %TEMP%\<Имя вируса>
- %TEMP%\NSD1.tmp
- %TEMP%\NSE2.tmp
Удаляет следующие файлы:
- %TEMP%\NSE2.exe
- %TEMP%\NSD1.tmp
Перемещает следующие файлы:
- %TEMP%\NSE2.tmp в %TEMP%\NSE2.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '22#.#49.223.209':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- 22#.#49.223.209/rconn.jpg
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'hwp_exec'
