Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\Application Data\BigFishGamesCache\Upgrade\Unpack\bfgsetup_s1_l1.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '%ALLUSERSPROFILE%\Application Data\BigFishGamesCache\Upgrade\Unpack\bfgsetup_s1_l1.exe' /STUBPATH "<Полный путь к вирусу>"
- '%ALLUSERSPROFILE%\Application Data\BigFishGamesCache\Upgrade\stub\<Имя вируса>.exe' /STUBPATH "<Полный путь к вирусу>" /D=<Текущая директория>
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\BigFishGamesCache\GameManager\log\gamestub_install_log.txt
- %TEMP%\nsh4.tmp\uac.dll
- %TEMP%\nsh4.tmp\nsProcess.dll
- %ALLUSERSPROFILE%\Application Data\BigFishGamesCache\Upgrade\Unpack\bfgsetup_s1_l1.exe
- %TEMP%\nsh4.tmp\NSISdl.dll
- %TEMP%\nsi2.tmp\UserInfo.dll
- %TEMP%\nsi2.tmp\System.dll
- %ALLUSERSPROFILE%\Application Data\BigFishGamesCache\Upgrade\stub\<Имя вируса>.exe
- %TEMP%\nsh4.tmp\UserInfo.dll
- %TEMP%\nsh4.tmp\System.dll
Удаляет следующие файлы:
- %TEMP%\nsh4.tmp\UserInfo.dll
- %TEMP%\nsi2.tmp\System.dll
- %TEMP%\nsi2.tmp\UserInfo.dll
- %TEMP%\nsh4.tmp\uac.dll
- %TEMP%\nsh4.tmp\NSISdl.dll
- %TEMP%\nsh4.tmp\nsProcess.dll
- %TEMP%\nsh4.tmp\System.dll
Сетевая активность:
Подключается к:
- 'do######s.bigfishgames.com':80
TCP:
Запросы HTTP GET:
- http://do######s.bigfishgames.com/downloads/gamemanager/bfginstaller.exe
UDP:
- DNS ASK do######s.bigfishgames.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'BFG_DRM_71f48295-5ff7-4894-b2c3-92f72b83a864'
- ClassName: '#32770' WindowName: ''
- ClassName: '' WindowName: 'BFG_Monitor_f8c5f096-93d6-4f5f-8474-fc53d9c7540c'
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: 'BFG_Client_a3528f2e-7897-42cb-8bda-23273e96d430'
