Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ctpop' = '%PROGRAM_FILES%\ctpop\ctpop.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\ctpop\setupex.exe
- %PROGRAM_FILES%\ctpop\ctpop.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c \DelUS.bat
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsl4.tmp\NSISdl.dll
- C:\DelUS.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ctpep[1].xml
- %TEMP%\dataup.exe
- %TEMP%\nsm2.tmp\SelfDelete.dll
- %PROGRAM_FILES%\ctpop\setupex.exe
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini
- %PROGRAM_FILES%\ctpop\uninst.exe
- %PROGRAM_FILES%\ctpop\ctpop.exe
Удаляет следующие файлы:
- %TEMP%\nsm2.tmp\SelfDelete.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'yo####04.cafe24.com':80
- 'localhost':1037
- '1.##4.83.91':80
TCP:
Запросы HTTP GET:
- yo####04.cafe24.com/log/?mo###########################################
- yo####04.cafe24.com/log/ctpep.xml
- 1.##4.83.91/files/dataup.dat
UDP:
- DNS ASK yo####04.cafe24.com
