Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'nurungziUpdate' = '%PROGRAM_FILES%\nurungzi\agnrz.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'nurungzi' = '%PROGRAM_FILES%\nurungzi\updnrz.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\nurungzi\updnrz.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\audnrz.exe
- %PROGRAM_FILES%\nurungzi\dlnrz.dll
- %PROGRAM_FILES%\nurungzi\amnrz.exe
- %HOMEPATH%\Desktop\nurungzi №Щ·О°Ў±в.lnk
- %HOMEPATH%\Start Menu\ЗБ·О±Ч·Ґ\nurungzi\nurungzi №Щ·О°Ў±в.lnk
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\upsetting[1].dat
- %PROGRAM_FILES%\nurungzi\udnrz.exe
- %PROGRAM_FILES%\nurungzi\mnnrz.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\icc[1].php
- %PROGRAM_FILES%\nurungzi\agnrz.exe
- %PROGRAM_FILES%\nurungzi\updnrz.exe
- %PROGRAM_FILES%\nurungzi\icnrx.ico
Сетевая активность:
Подключается к:
- 'do##.#urungzi.co.kr':80
TCP:
Запросы HTTP GET:
- do##.#urungzi.co.kr/main/sms1000/amnrz.exe
- do##.#urungzi.co.kr/main/sms1000/agnrz.exe
- do##.#urungzi.co.kr/main/sms1000/dlnrz.dll
- do##.#urungzi.co.kr/main/sms1000/upsetting.dat
- do##.#urungzi.co.kr/main/sms1000/audnrz.exe
- do##.#urungzi.co.kr/main/sms1000/mnnrz.exe
- do##.#urungzi.co.kr/ap_cnt/icc.php?&p#################################
- do##.#urungzi.co.kr/main/sms1000/udnrz.exe
- do##.#urungzi.co.kr/main/sms1000/updnrz.exe
- do##.#urungzi.co.kr/main/sms1000/icnrx.ico
UDP:
- DNS ASK do##.#urungzi.co.kr
