Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SharedAPPs' = '%WINDIR%\system\<Имя файла>.exe'
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s %WINDIR%\nvdmx32.reg
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\nvdmx32.bat""
- '%WINDIR%\regedit.exe' /s %WINDIR%\MainHLP32.reg
- '<SYSTEM32>\regsvr32.exe' /s "%ProgramFiles%\GbPluggin\gbiehdst.dll"
Изменения в файловой системе:
Создает следующие файлы:
- %ProgramFiles%\GbPluggin\gbiehdst.dll
- %ProgramFiles%\GbPluggin\gbplib.dll
- <Текущая директория>\nvdmx32.bat
- %WINDIR%\nvdmx32.reg
- %ProgramFiles%\GbPluggin\gbppdist.dll
- %WINDIR%\MainHLP32.reg
- %ProgramFiles%\GbPluggin\SVCHOST
- %ProgramFiles%\GbPluggin\gbppsv.exe
- %WINDIR%\system\<Имя файла>.exe
Удаляет следующие файлы:
- %WINDIR%\system\<Имя файла>.exe
- %WINDIR%\nvdmx32.reg
- %WINDIR%\MainHLP32.reg
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.jb####ullos.kit.net':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- http://www.jb####ullos.kit.net/fundo.css
- http://www.jb####ullos.kit.net/lado.css
- http://www.jb####ullos.kit.net/barra1.css
- http://www.jb####ullos.kit.net/topo.css
UDP:
- DNS ASK www.jb####ullos.kit.net
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'TrToten' WindowName: ''
