Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemwlkuw.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemuqngu.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemzcvsu.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqempnvkc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemmrgrw.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemuogdd.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemryazg.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemcgaih.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemvnpni.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemvivbu.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemxyasg.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemamcic.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemnnpzx.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemrbiqo.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemdgvlh.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemtovmr.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemtfnls.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemqoddn.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemddpnf.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemixloo.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemdisps.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemtjdje.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemosugx.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemmimpn.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemorvjv.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemgxrbz.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemylwhl.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemkbenz.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqempqhvv.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemejrha.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemcgptu.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemxkzzs.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemmazro.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqempyoys.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemxiigb.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemnppdv.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemsiriu.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemypnga.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemrgpit.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemuujxp.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemhkfwm.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemjrfiw.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemdudoy.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemwjtyk.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemqeona.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemktwer.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemyupdk.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqembexas.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemvwqsz.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqembrkkf.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemzkucc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemmbpbo.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemjqxmf.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemegvfh.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemthgxx.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Sysqemuqngu.exe'
- '%TEMP%\Sysqemzcvsu.exe'
- '%TEMP%\Sysqemryazg.exe'
- '%TEMP%\Sysqemmrgrw.exe'
- '%TEMP%\Sysqemuogdd.exe'
- '%TEMP%\Sysqemwlkuw.exe'
- '%TEMP%\Sysqemxyasg.exe'
- '%TEMP%\Sysqemvnpni.exe'
- '%TEMP%\Sysqemvivbu.exe'
- '%TEMP%\Sysqemkbenz.exe'
- '%TEMP%\Sysqemamcic.exe'
- '%TEMP%\Sysqemnnpzx.exe'
- '%TEMP%\Sysqemcgaih.exe'
- '%TEMP%\Sysqempnvkc.exe'
- '%TEMP%\Sysqemtovmr.exe'
- '%TEMP%\Sysqemtfnls.exe'
- '%TEMP%\Sysqemdisps.exe'
- '%TEMP%\Sysqemddpnf.exe'
- '%TEMP%\Sysqemixloo.exe'
- '%TEMP%\Sysqemdgvlh.exe'
- '%TEMP%\Sysqemorvjv.exe'
- '%TEMP%\Sysqemosugx.exe'
- '%TEMP%\Sysqemmimpn.exe'
- '%TEMP%\Sysqemrbiqo.exe'
- '%TEMP%\Sysqemgxrbz.exe'
- '%TEMP%\Sysqemylwhl.exe'
- '%TEMP%\Sysqemtjdje.exe'
- '%TEMP%\Sysqempqhvv.exe'
- '%TEMP%\Sysqemejrha.exe'
- '%TEMP%\Sysqemcgptu.exe'
- '%TEMP%\Sysqemxkzzs.exe'
- '%TEMP%\Sysqemmazro.exe'
- '%TEMP%\Sysqempyoys.exe'
- '%TEMP%\Sysqemxiigb.exe'
- '%TEMP%\Sysqemnppdv.exe'
- '%TEMP%\Sysqemsiriu.exe'
- '%TEMP%\Sysqemypnga.exe'
- '%TEMP%\Sysqemrgpit.exe'
- '%TEMP%\Sysqemuujxp.exe'
- '%TEMP%\Sysqemhkfwm.exe'
- '%TEMP%\Sysqemjrfiw.exe'
- '%TEMP%\Sysqemdudoy.exe'
- '%TEMP%\Sysqemwjtyk.exe'
- '%TEMP%\Sysqemqeona.exe'
- '%TEMP%\Sysqemktwer.exe'
- '%TEMP%\Sysqemyupdk.exe'
- '%TEMP%\Sysqembexas.exe'
- '%TEMP%\Sysqemvwqsz.exe'
- '%TEMP%\Sysqembrkkf.exe'
- '%TEMP%\Sysqemzkucc.exe'
- '%TEMP%\Sysqemmbpbo.exe'
- '%TEMP%\Sysqemjqxmf.exe'
- '%TEMP%\Sysqemegvfh.exe'
- '%TEMP%\Sysqemthgxx.exe'
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Sysqemuqngu.exe
- %TEMP%\Sysqemzcvsu.exe
- %TEMP%\Sysqemryazg.exe
- %TEMP%\Sysqemwlkuw.exe
- %TEMP%\Sysqempnvkc.exe
- %TEMP%\Sysqemmrgrw.exe
- %TEMP%\Sysqemuogdd.exe
- %TEMP%\Sysqemvnpni.exe
- %TEMP%\Sysqemvivbu.exe
- %TEMP%\Sysqemkbenz.exe
- %TEMP%\Sysqemcgaih.exe
- %TEMP%\Sysqemxyasg.exe
- %TEMP%\Sysqemamcic.exe
- %TEMP%\Sysqemnnpzx.exe
- %TEMP%\Sysqemtovmr.exe
- %TEMP%\Sysqemtfnls.exe
- %TEMP%\Sysqemdisps.exe
- %TEMP%\Sysqemdgvlh.exe
- %TEMP%\Sysqemqoddn.exe
- %TEMP%\Sysqemddpnf.exe
- %TEMP%\Sysqemixloo.exe
- %TEMP%\Sysqemosugx.exe
- %TEMP%\Sysqemmimpn.exe
- %TEMP%\Sysqemrbiqo.exe
- %TEMP%\Sysqemtjdje.exe
- %TEMP%\Sysqemorvjv.exe
- %TEMP%\Sysqemgxrbz.exe
- %TEMP%\Sysqemylwhl.exe
- %TEMP%\Sysqemktwer.exe
- %TEMP%\Sysqemcgptu.exe
- %TEMP%\Sysqemxiigb.exe
- %TEMP%\Sysqemrgpit.exe
- %TEMP%\Sysqemejrha.exe
- %TEMP%\Sysqemmazro.exe
- %TEMP%\Sysqempyoys.exe
- %TEMP%\Sysqempqhvv.exe
- %TEMP%\Sysqemypnga.exe
- %TEMP%\Sysqamqqvaqqd.exe
- %TEMP%\qpath.ini
- %TEMP%\Sysqemsiriu.exe
- %TEMP%\Sysqemuujxp.exe
- %TEMP%\Sysqemhkfwm.exe
- %TEMP%\Sysqemnppdv.exe
- %TEMP%\Sysqemqeona.exe
- %TEMP%\Sysqemvwqsz.exe
- %TEMP%\Sysqemjqxmf.exe
- %TEMP%\Sysqemwjtyk.exe
- %TEMP%\Sysqemyupdk.exe
- %TEMP%\Sysqembexas.exe
- %TEMP%\Sysqemdudoy.exe
- %TEMP%\Sysqemmbpbo.exe
- %TEMP%\Sysqemjrfiw.exe
- %TEMP%\Sysqemxkzzs.exe
- %TEMP%\Sysqemzkucc.exe
- %TEMP%\Sysqemegvfh.exe
- %TEMP%\Sysqemthgxx.exe
- %TEMP%\Sysqembrkkf.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\Sysqemuqngu.exe
- %TEMP%\Sysqemzcvsu.exe
- %TEMP%\Sysqemryazg.exe
- %TEMP%\Sysqemwlkuw.exe
- %TEMP%\Sysqempnvkc.exe
- %TEMP%\Sysqemmrgrw.exe
- %TEMP%\Sysqemuogdd.exe
- %TEMP%\Sysqemvnpni.exe
- %TEMP%\Sysqemvivbu.exe
- %TEMP%\Sysqemkbenz.exe
- %TEMP%\Sysqemcgaih.exe
- %TEMP%\Sysqemxyasg.exe
- %TEMP%\Sysqemamcic.exe
- %TEMP%\Sysqemnnpzx.exe
- %TEMP%\Sysqemtovmr.exe
- %TEMP%\Sysqemtfnls.exe
- %TEMP%\Sysqemdisps.exe
- %TEMP%\Sysqemdgvlh.exe
- %TEMP%\Sysqemqoddn.exe
- %TEMP%\Sysqemddpnf.exe
- %TEMP%\Sysqemixloo.exe
- %TEMP%\Sysqemosugx.exe
- %TEMP%\Sysqemmimpn.exe
- %TEMP%\Sysqemrbiqo.exe
- %TEMP%\Sysqemtjdje.exe
- %TEMP%\Sysqemorvjv.exe
- %TEMP%\Sysqemgxrbz.exe
- %TEMP%\Sysqemylwhl.exe
- %TEMP%\Sysqemejrha.exe
- %TEMP%\Sysqemcgptu.exe
- %TEMP%\Sysqemxiigb.exe
- %TEMP%\Sysqempqhvv.exe
- %TEMP%\Sysqemxkzzs.exe
- %TEMP%\Sysqemmazro.exe
- %TEMP%\Sysqempyoys.exe
- %TEMP%\Sysqemsiriu.exe
- %TEMP%\Sysqamqqvaqqd.exe
- %TEMP%\Sysqemypnga.exe
- %TEMP%\Sysqemnppdv.exe
- %TEMP%\Sysqemrgpit.exe
- %TEMP%\Sysqemuujxp.exe
- %TEMP%\Sysqemhkfwm.exe
- %TEMP%\Sysqemwjtyk.exe
- %TEMP%\Sysqemqeona.exe
- %TEMP%\Sysqemvwqsz.exe
- %TEMP%\Sysqemdudoy.exe
- %TEMP%\Sysqemktwer.exe
- %TEMP%\Sysqemyupdk.exe
- %TEMP%\Sysqembexas.exe
- %TEMP%\Sysqemzkucc.exe
- %TEMP%\Sysqemmbpbo.exe
- %TEMP%\Sysqemjrfiw.exe
- %TEMP%\Sysqembrkkf.exe
- %TEMP%\Sysqemjqxmf.exe
- %TEMP%\Sysqemegvfh.exe
- %TEMP%\Sysqemthgxx.exe
