Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Windows_qq.exe] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\qq.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c "%PROGRAM_FILES%\DelSvel.bat"
- <SYSTEM32>\dumprep.exe 2776 -dm 7 7 "%TEMP%\WERf24b.dir00\calc.exe.mdmp" 16325836412027100
- <SYSTEM32>\calc.exe
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\DelSvel.bat
- %TEMP%\WERf24b.dir00\calc.exe.mdmp
- %PROGRAM_FILES%\qq.exe
- <SYSTEM32>\_qq.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\_qq.exe
- %PROGRAM_FILES%\qq.exe
Самоудаляется.
Сетевая активность:
UDP:
- DNS ASK 32###.go3.icpcn.com
Другое:
Ищет следующие окна:
- ClassName: 'TRE1001HS' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
