Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'UpdateService' = '%TEMP%\SoftUpdater.exe /update'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\SoftUpdater.exe' /begin
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsi5.tmp\IpConfig.dll
- %TEMP%\nsi5.tmp\inetcEXT2.dll
- %TEMP%\softup32.txt
- %TEMP%\nsi5.tmp\System.dll
- %TEMP%\nsq2.tmp
- %TEMP%\SoftUpdater.exe
- %TEMP%\nss4.tmp
Удаляет следующие файлы:
- %TEMP%\nsi5.tmp\IpConfig.dll
- %TEMP%\nsi5.tmp\System.dll
- %TEMP%\roib.6
- %TEMP%\nsi5.tmp\inetcEXT2.dll
Перемещает следующие файлы:
- %TEMP%\softup32.txt в %TEMP%\roib.6
Сетевая активность:
Подключается к:
- 'www.aw###stalls.com':80
TCP:
Запросы HTTP GET:
- www.aw###stalls.com/roib/?v=###################################################
UDP:
- DNS ASK www.aw###stalls.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
