Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{12BA05DD-53B2-CBE4-F6EF-D971BD38962A}' = '%APPDATA%\Ysanka\qoopr.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Создает и запускает на исполнение:
- '%APPDATA%\Ysanka\qoopr.exe'
Запускает на исполнение:
- '%APPDATA%\Ysanka\qoopr.exe'
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\tmp_72d63002.bat"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
большое количество пользовательских процессов.
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\g[1].htm
- %TEMP%\tmp_72d63002.bat
- %APPDATA%\Ysanka\qoopr.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'xp######ayiqxmzl.onion.pw':80
UDP:
- DNS ASK xp######ayiqxmzl.onion.pw
Другое:
Ищет следующие окна:
- ClassName: 'Rock Debugger' WindowName: ''
- ClassName: 'ObsidianGUI' WindowName: ''
- ClassName: 'Zeta Debugger' WindowName: ''
- ClassName: 'WinDbgFrameClass' WindowName: ''
- ClassName: 'Immunity Debugger' WindowName: ''
