Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Project1' = '%APPDATA%\qolkqa\Project1.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Svchost.exe'
- '%TEMP%\RarSFX0\DHTFed.exe' "qolKQa"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\qolkqa\eWEpCw.txt
- %APPDATA%\qolkqa\qolKQa
- %TEMP%\Svchost.exe
- %APPDATA%\qolkqa\DHTFed.exe
- %APPDATA%\qolkqa\1.txt
- %APPDATA%\qolkqa\2.txt
- %APPDATA%\qolkqa\skype.exe
- %APPDATA%\qolkqa\Project1.exe
- %TEMP%\RarSFX0\DHTFed.exe
- %TEMP%\RarSFX0\rEvVnt.exe
- %TEMP%\RarSFX0\qolKQa
- %TEMP%\RarSFX0\eWEpCw.txt
- %TEMP%\rEvVnt.exe
- %TEMP%\qolKQa
- %TEMP%\eWEpCw.txt
- %TEMP%\DHTFed.exe
Удаляет следующие файлы:
- %TEMP%\RarSFX0\qolKQa
- %TEMP%\RarSFX0\rEvVnt.exe
- %TEMP%\RarSFX0\DHTFed.exe
- %TEMP%\RarSFX0\eWEpCw.txt
Сетевая активность:
Подключается к:
- 'gb####2.ddns.net':842
UDP:
- DNS ASK gb####2.ddns.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
