Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\SPBIW_UpdateTask_Time_3331313638343636372d3437415a556c2a3223346c41.job
- %WINDIR%\Tasks\ShopperProJSUpd.job
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\SPBIUpd] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nss6.tmp\nsA.tmp' cmd /C ""%PROGRAM_FILES%\ShopperPro\ShopperPro.exe" /S"
- '%CommonProgramFiles%\ShopperPro\spbiu.exe' /service
- '%CommonProgramFiles%\ShopperPro\spbiu.exe' "/invoke" "/f:check_services" "/l:0"
- '%CommonProgramFiles%\ShopperPro\spbia.exe' /Command:QueryData /Url:_?dsid=1&s=Unknown&v=1.0.0.4&mid=AAAJAJA3A0A1A3A3A9ieA1A91J7L773DiLAiiAA13D1J&usetmd5=&bmd5=&hpp=1&spp=1&ntp=1
- '%CommonProgramFiles%\ShopperPro\spbiu.exe' /install
- '%TEMP%\nss6.tmp\ns8.tmp' cmd /C ""%PROGRAM_FILES%\ShopperPro\ShopperPro.exe" /S"
- '%TEMP%\nsk3.tmp\setup.exe' /S
- '%TEMP%\nss6.tmp\ns9.tmp' cmd /C ""%CommonProgramFiles%\ShopperPro\spbiu.exe" /install"
- '%PROGRAM_FILES%\ShopperPro\ShopperPro.exe' /S
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' //B "%ALLUSERSPROFILE%\Application Data\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0
- '<SYSTEM32>\sc.exe' start SPBIUpd
- '<SYSTEM32>\regsvr32.exe' /s "%ALLUSERSPROFILE%\Application Data\ShopperPro\ShopperPro.dll"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nss6.tmp\ns8.tmp
- %TEMP%\nss6.tmp\nsExec.dll
- %PROGRAM_FILES%\ShopperPro\config.json
- %ALLUSERSPROFILE%\Application Data\ShopperPro\ShopperPro64.dll
- %ALLUSERSPROFILE%\Application Data\ShopperPro\ShopperPro.dll
- %PROGRAM_FILES%\ShopperPro\JSDriver\jsdrv.exe
- %TEMP%\nss6.tmp\nsProcess.dll
- %TEMP%\nss6.tmp\System.dll
- %ALLUSERSPROFILE%\Documents\ShopperPro\JsDriver\Config.xml
- %PROGRAM_FILES%\ShopperPro\JSDriver\jsdrv.sys
- %CommonProgramFiles%\ShopperPro\spbiw.sys
- %CommonProgramFiles%\ShopperPro\spbiu.exe
- %TEMP%\nss6.tmp\ns9.tmp
- %TEMP%\nss6.tmp\nsA.tmp
- %ALLUSERSPROFILE%\Application Data\ShopperPro\spbihe.js
- %ALLUSERSPROFILE%\Application Data\ShopperPro\config.json
- %ALLUSERSPROFILE%\Application Data\ShopperPro\database1_0_0.json
- %CommonProgramFiles%\ShopperPro\spbia.exe
- %CommonProgramFiles%\ShopperPro\spbii32.exe
- %CommonProgramFiles%\ShopperPro\spbici32.dll
- %TEMP%\nss6.tmp\MoreInfo.dll
- %TEMP%\nss6.tmp\AccDownload.dll
- %TEMP%\nss5.tmp
- %PROGRAM_FILES%\ShopperPro\ShopperPro.dll
- %PROGRAM_FILES%\ShopperPro\ShopperPro.exe
- %PROGRAM_FILES%\ShopperPro\ShopperPro64.dll
- %TEMP%\nsk3.tmp\NK.lky
- %TEMP%\nsf2.tmp
- %TEMP%\nsk3.tmp\setup1.exe
- %TEMP%\nsk3.tmp\setup.exe
- %TEMP%\nsk3.tmp\D1958.dll
- %PROGRAM_FILES%\ShopperPro\FireFox\content\overlay.js
- %PROGRAM_FILES%\ShopperPro\FireFox\install.rdf
- %PROGRAM_FILES%\ShopperPro\FireFox\content\overlay.xul
- %TEMP%\nss6.tmp\jsdrv.exe
- %PROGRAM_FILES%\ShopperPro\FireFox\content\shopperpro_128.png
- %PROGRAM_FILES%\ShopperPro\manifest.json
- %PROGRAM_FILES%\ShopperPro\Updater.exe
- %PROGRAM_FILES%\ShopperPro\database1_0_0.json
- %PROGRAM_FILES%\ShopperPro\FireFox\chrome.manifest
- %PROGRAM_FILES%\ShopperPro\SPRemove.exe
Удаляет следующие файлы:
- %TEMP%\nsk3.tmp\D1958.dll
- %TEMP%\nss6.tmp\System.dll
- %TEMP%\nss6.tmp\nsProcess.dll
- %TEMP%\nsk3.tmp\setup1.exe
- %TEMP%\nsk3.tmp\setup.exe
- %TEMP%\nsk3.tmp\NK.lky
- %TEMP%\nss6.tmp\nsExec.dll
- %TEMP%\nss6.tmp\nsA.tmp
- %TEMP%\nss6.tmp\ns9.tmp
- %TEMP%\nss6.tmp\ns8.tmp
- %TEMP%\nss6.tmp\MoreInfo.dll
- %TEMP%\nss6.tmp\jsdrv.exe
- %TEMP%\nss6.tmp\AccDownload.dll
Сетевая активность:
Подключается к:
- 're#.##opper-pro.com':80
UDP:
- DNS ASK re#.##opper-pro.com
