Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Project1' = '%APPDATA%\qtjhtf\Project1.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Svchost.exe'
- '%TEMP%\RarSFX0\DMRChJ.exe' "qtjhTf"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\qtjhtf\ebbNFc.txt
- %APPDATA%\qtjhtf\qtjhTf
- %TEMP%\Svchost.exe
- %APPDATA%\qtjhtf\DMRChJ.exe
- %APPDATA%\qtjhtf\1.txt
- %APPDATA%\qtjhtf\2.txt
- %APPDATA%\qtjhtf\skype.exe
- %APPDATA%\qtjhtf\Project1.exe
- %TEMP%\RarSFX0\DMRChJ.exe
- %TEMP%\RarSFX0\rJtsqy.exe
- %TEMP%\RarSFX0\qtjhTf
- %TEMP%\RarSFX0\ebbNFc.txt
- %TEMP%\rJtsqy.exe
- %TEMP%\qtjhTf
- %TEMP%\ebbNFc.txt
- %TEMP%\DMRChJ.exe
Удаляет следующие файлы:
- %TEMP%\RarSFX0\qtjhTf
- %TEMP%\RarSFX0\rJtsqy.exe
- %TEMP%\RarSFX0\DMRChJ.exe
- %TEMP%\RarSFX0\ebbNFc.txt
Сетевая активность:
Подключается к:
- 'iu#####azy.blogdns.com':5454
UDP:
- DNS ASK iu#####azy.blogdns.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
