Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\NvUpdSrv] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\NVIDIA Corporation\Update\nvupd32.exe'
- '<LS_APPDATA>\NVIDIA Corporation\Update\nvupd32.exe' /svc
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\NVIDIA Corporation\Update\nvupd32.exe
- %TEMP%\nsv3.tmp\System.dll
- %TEMP%\nsq2.tmp
Удаляет следующие файлы:
- %TEMP%\nsv3.tmp\System.dll
Сетевая активность:
Подключается к:
- 'fm##.ctrh.biz':8000
- 'bh##.axvf.biz':8000
- '94.##.85.161':8000
- 'fm##.tukv.biz':8000
- 'ty##.ctrh.biz':8000
- 'aa##.axvf.biz':8000
- 'yw##.axvf.biz':8000
UDP:
- DNS ASK fm##.ctrh.biz
- DNS ASK bh##.axvf.biz
- DNS ASK ow##.tukv.biz
- DNS ASK fm##.tukv.biz
- DNS ASK ty##.ctrh.biz
- DNS ASK aa##.axvf.biz
- DNS ASK yw##.axvf.biz
