Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,C:\ProgramData\sIAowgok\rSYkcwMw.exe,'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'rSYkcwMw.exe' = 'C:\ProgramData\sIAowgok\rSYkcwMw.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'GocwIYEU.exe' = '%HOMEPATH%\CaIocokM\GocwIYEU.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\yoYkgMRX] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- 'C:\ProgramData\ZQIIosos\XiskIEYE.exe'
- 'C:\ProgramData\sIAowgok\rSYkcwMw.exe'
- '%HOMEPATH%\CaIocokM\GocwIYEU.exe'
Запускает на исполнение:
- '<SYSTEM32>\vssvc.exe'
- '<SYSTEM32>\svchost.exe' -k swprv
- '<SYSTEM32>\conhost.exe'
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
Изменения в файловой системе:
Создает следующие файлы:
- C:\RCX68FF.tmp
- <Текущая директория>\wWME.ico
- <Текущая директория>\ckkm.exe
- C:\RCX5B77.tmp
- <Текущая директория>\EcgM.ico
- <Текущая директория>\sMEG.exe
- C:\RCX6F67.tmp
- <Текущая директория>\zIoc.ico
- <Текущая директория>\LQYw.exe
- C:\RCX6D44.tmp
- <Текущая директория>\Dgkw.ico
- %TEMP%\TMkMcIAI.bat
- <Текущая директория>\Dwsc.ico
- <Текущая директория>\HIYK.exe
- C:\RCX56D2.tmp
- <Текущая директория>\MWUc.ico
- <Текущая директория>\Qcgm.exe
- C:\RCX581B.tmp
- <Текущая директория>\CiYU.ico
- <Текущая директория>\qYES.exe
- C:\RCX5992.tmp
- <Текущая директория>\TIsQ.ico
- <Текущая директория>\rYEO.exe
- <Текущая директория>\IEYy.exe
- C:\RCX8010.tmp
- %TEMP%\huEoMwkM.bat
- <Текущая директория>\kcgE.exe
- C:\RCX7E3B.tmp
- <Текущая директория>\uWkE.ico
- <Текущая директория>\akQU.ico
- <Текущая директория>\kUgg.exe
- C:\RCX83F8.tmp
- <Текущая директория>\zooE.ico
- <Текущая директория>\ZwcE.exe
- C:\RCX81A6.tmp
- <Текущая директория>\xIUc.exe
- C:\RCX7208.tmp
- <Текущая директория>\neYs.ico
- <Текущая директория>\dgQe.exe
- C:\RCX7090.tmp
- <Текущая директория>\NSQs.ico
- <Текущая директория>\jkgA.exe
- C:\RCX76EA.tmp
- <Текущая директория>\IsMk.ico
- <Текущая директория>\dgIm.exe
- C:\RCX739E.tmp
- <Текущая директория>\ByoE.ico
- <Текущая директория>\wYgA.exe
- C:\RCX3554.tmp
- <Текущая директория>\MsYg.ico
- <Текущая директория>\MUIK.exe
- C:\RCX342A.tmp
- <Текущая директория>\YEEo.ico
- <Текущая директория>\<Имя вируса>
- C:\RCX38DE.tmp
- %TEMP%\ngQMoEYY.bat
- <SYSTEM32>\config\systemprofile\CaIocokM\GocwIYEU
- <Текущая директория>\NoUo.exe
- <Текущая директория>\UIoY.ico
- C:\ProgramData\ZQIIosos\XiskIEYE.exe
- C:\ProgramData\sIAowgok\rSYkcwMwANEC
- C:\ProgramData\sIAowgok\rSYkcwMw
- <Текущая директория>\<Имя вируса>GQVI
- %HOMEPATH%\CaIocokM\GocwIYEU
- %HOMEPATH%\CaIocokM\GocwIYEUIRTH
- <Текущая директория>\TkwO.exe
- C:\RCX333F.tmp
- <Текущая директория>\qAco.ico
- C:\ProgramData\ZQIIosos\XiskIEYEDMGQ
- C:\ProgramData\kaog.txt
- <Текущая директория>\gCYo.ico
- <Текущая директория>\lQEa.exe
- C:\RCX50E6.tmp
- <Текущая директория>\lWEo.ico
- <Текущая директория>\xUIa.exe
- C:\RCX4CD0.tmp
- <Текущая директория>\lEcI.ico
- <Текущая директория>\qIQe.exe
- C:\RCX54A0.tmp
- <Текущая директория>\QwsE.ico
- <Текущая директория>\kwwC.exe
- C:\RCX51E1.tmp
- <Текущая директория>\oswo.ico
- <Текущая директория>\BgYi.exe
- C:\RCX3C68.tmp
- <Текущая директория>\voos.ico
- <Текущая директория>\oQAy.exe
- C:\RCX3A84.tmp
- <Текущая директория>\QWYQ.ico
- <Текущая директория>\issW.exe
- C:\RCX4B58.tmp
- <Текущая директория>\KGcU.ico
- <Текущая директория>\akMG.exe
- C:\RCX4A3F.tmp
Удаляет следующие файлы:
- <Текущая директория>\sMEG.exe
- <Текущая директория>\wWME.ico
- <Текущая директория>\ckkm.exe
- <Текущая директория>\Dgkw.ico
- <Текущая директория>\IEYy.exe
- <Текущая директория>\zIoc.ico
- <Текущая директория>\LQYw.exe
- <Текущая директория>\EcgM.ico
- <Текущая директория>\TIsQ.ico
- <Текущая директория>\HIYK.exe
- <Текущая директория>\Dwsc.ico
- <Текущая директория>\rYEO.exe
- %TEMP%\TMkMcIAI.bat
- <Текущая директория>\qYES.exe
- <Текущая директория>\CiYU.ico
- %TEMP%\huEoMwkM.bat
- <Текущая директория>\kcgE.exe
- <Текущая директория>\uWkE.ico
- <Текущая директория>\akQU.ico
- <Текущая директория>\kUgg.exe
- <Текущая директория>\zooE.ico
- <Текущая директория>\ZwcE.exe
- <Текущая директория>\xIUc.exe
- <Текущая директория>\neYs.ico
- <Текущая директория>\dgQe.exe
- <Текущая директория>\NSQs.ico
- <Текущая директория>\jkgA.exe
- <Текущая директория>\IsMk.ico
- <Текущая директория>\dgIm.exe
- <Текущая директория>\ByoE.ico
- <Текущая директория>\Qcgm.exe
- <Текущая директория>\YEEo.ico
- <Текущая директория>\wYgA.exe
- <Текущая директория>\MsYg.ico
- <Текущая директория>\NoUo.exe
- <Текущая директория>\oQAy.exe
- <Текущая директория>\gCYo.ico
- %TEMP%\ngQMoEYY.bat
- <Текущая директория>\MUIK.exe
- C:\ProgramData\sIAowgok\rSYkcwMwANEC
- %HOMEPATH%\CaIocokM\GocwIYEUIRTH
- <Текущая директория>\<Имя вируса>GQVI
- C:\ProgramData\ZQIIosos\XiskIEYEDMGQ
- <Текущая директория>\UIoY.ico
- <Текущая директория>\TkwO.exe
- <Текущая директория>\qAco.ico
- <Текущая директория>\lEcI.ico
- <Текущая директория>\lQEa.exe
- <Текущая директория>\lWEo.ico
- <Текущая директория>\kwwC.exe
- <Текущая директория>\MWUc.ico
- <Текущая директория>\qIQe.exe
- <Текущая директория>\QwsE.ico
- <Текущая директория>\xUIa.exe
- <Текущая директория>\QWYQ.ico
- <Текущая директория>\BgYi.exe
- <Текущая директория>\voos.ico
- <Текущая директория>\akMG.exe
- <Текущая директория>\oswo.ico
- <Текущая директория>\issW.exe
- <Текущая директория>\KGcU.ico
Перемещает следующие файлы:
- C:\RCX6D44.tmp в <Текущая директория>\sMEG.exe
- C:\RCX6F67.tmp в <Текущая директория>\LQYw.exe
- C:\RCX7090.tmp в <Текущая директория>\IEYy.exe
- C:\RCX5992.tmp в <Текущая директория>\rYEO.exe
- C:\RCX5B77.tmp в <Текущая директория>\qYES.exe
- C:\RCX68FF.tmp в <Текущая директория>\ckkm.exe
- C:\RCX7208.tmp в <Текущая директория>\dgQe.exe
- C:\RCX8010.tmp в <Текущая директория>\kcgE.exe
- C:\RCX81A6.tmp в <Текущая директория>\ZwcE.exe
- C:\RCX83F8.tmp в <Текущая директория>\kUgg.exe
- C:\RCX739E.tmp в <Текущая директория>\jkgA.exe
- C:\RCX76EA.tmp в <Текущая директория>\dgIm.exe
- C:\RCX7E3B.tmp в <Текущая директория>\xIUc.exe
- C:\RCX581B.tmp в <Текущая директория>\HIYK.exe
- C:\RCX38DE.tmp в <Текущая директория>\NoUo.exe
- C:\RCX3A84.tmp в <Текущая директория>\oQAy.exe
- C:\RCX3C68.tmp в <Текущая директория>\BgYi.exe
- C:\RCX333F.tmp в <Текущая директория>\TkwO.exe
- C:\RCX342A.tmp в <Текущая директория>\MUIK.exe
- C:\RCX3554.tmp в <Текущая директория>\wYgA.exe
- C:\RCX4A3F.tmp в <Текущая директория>\akMG.exe
- C:\RCX51E1.tmp в <Текущая директория>\kwwC.exe
- C:\RCX54A0.tmp в <Текущая директория>\qIQe.exe
- C:\RCX56D2.tmp в <Текущая директория>\Qcgm.exe
- C:\RCX4B58.tmp в <Текущая директория>\issW.exe
- C:\RCX4CD0.tmp в <Текущая директория>\xUIa.exe
- C:\RCX50E6.tmp в <Текущая директория>\lQEa.exe
Сетевая активность:
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK google.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'rSYkcwMw.exe'
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: 'Microsoft Windows'
- ClassName: 'Indicator' WindowName: ''
- ClassName: '' WindowName: 'GocwIYEU.exe'
