Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\2135212360] 'Name' = '%TEMP%\5.tmp'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nsq3.tmp\2IC.exe'
- '%TEMP%\nsq3.tmp\1EuroP.exe'
- '%TEMP%\nsq3.tmp\ic1.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1400' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1601' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'currentlevel' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsq3.tmp\6tbp.exe
- %TEMP%\nsq3.tmp\rich.exe
- %TEMP%\4.tmp
- %TEMP%\Aqz..bat
- %WINDIR%\Temp\7.tmp
- %TEMP%\nsq3.tmp\ic1.exe
- %TEMP%\nsp2.tmp
- %TEMP%\nsq3.tmp\1EuroP.exe
- %TEMP%\nsq3.tmp\3E4U - Bucks.exe
- %TEMP%\nsq3.tmp\2IC.exe
Удаляет следующие файлы:
- %WINDIR%\Temp\7.tmp
- %TEMP%\nsq3.tmp\1EuroP.exe
- %TEMP%\5.tmp
- <DRIVERS>\etc\hosts
Перемещает следующие файлы:
- %TEMP%\nsq3.tmp\2IC.exe в %TEMP%\6.tmp
- %TEMP%\4.tmp в %TEMP%\5.tmp
Сетевая активность:
Подключается к:
- 'sk####nventors.in':80
UDP:
- DNS ASK ho###ay.com.cn
- DNS ASK sk####nventors.in
- DNS ASK vn###ress.net
- DNS ASK ne##og.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'CSCHiddenWindow' WindowName: '(null)'
- ClassName: 'SystemTray_Main' WindowName: '(null)'
