Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\NvUpdSrv] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\NVIDIA Corporation\Update Center\nvdupdate.exe'
- '%PROGRAM_FILES%\NVIDIA Corporation\Update Center\nvdupdate.exe' /svc
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\NVIDIA Corporation\Update Center\nvdupdate.exe
- %TEMP%\nsc9196.tmp\System.dll
- %TEMP%\nsn9195.tmp
Удаляет следующие файлы:
- %TEMP%\nsc9196.tmp\System.dll
Сетевая активность:
Подключается к:
- '17#.#9.165.113':30007
- '18#.#1.119.254':38354
- '80.##.80.158':31643
- '10#.#69.28.30':33816
- '19#.#84.9.198':29296
- '80.##.26.250':19285
- '70.##.101.66':11410
- '14#.#26.72.104':16040
- '19#.#9.117.15':39361
- '17#.#0.205.159':41023
UDP:
- DNS ASK dn#.##ftncsi.com
