Техническая информация
Вредоносные функции
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: <Текущая директория>\cfgdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\8b69.tmp
- %APPDATA%\qmacro\ocx\2bed3270-f72c-40bc-8cb6-9e3b1e88fedd\setupocxfile
- %TEMP%\0919394.tmp
- %APPDATA%\qmacro\ocx\09118d6f-df59-46ab-9122-35aad76c8243\setupocxfile
- %TEMP%\1ee9422.tmp
- %APPDATA%\qmacro\ocx\1eecca4f-53ea-49a3-b256-3d61816fac54\setupocxfile
- %TEMP%\59294b0.tmp
- %APPDATA%\qmacro\ocx\5920c5fc-b744-4004-94c3-d6fce0009a98\setupocxfile
- %TEMP%\c00954d.tmp
- %APPDATA%\qmacro\ocx\c009f31b-b044-413e-9414-0507c27957df\setupocxfile
- %TEMP%\24195da.tmp
- %TEMP%\2419687.tmp
- <Текущая директория>\uservar.ini
- %APPDATA%\qmacro\ocx\24130505-b60c-43e2-b591-48a281a43367\setupocxfile
- %TEMP%\59a9725.tmp
- %APPDATA%\qmacro\ocx\59a5c0ef-acf1-499a-bd8a-69f17e81a9c5\setupocxfile
- %TEMP%\28a97c2.tmp
- %APPDATA%\qmacro\ocx\28a0bc64-a2d4-407a-9856-eedcc1b77bee\setupocxfile
- %TEMP%\fde987e.tmp
- %APPDATA%\qmacro\ocx\fde694c6-9fa3-440a-a35e-9fd0d74232e3\setupocxfile
- %TEMP%\016991c.tmp
- %APPDATA%\qmacro\ocx\0164e5c4-7b27-4993-bd3b-90c3f0325942\setupocxfile
- <PATH_SAMPLE>.ini
- %TEMP%\2be92e7.tmp
- %APPDATA%\qmacro\ocx\2413b6f8-5e5d-4823-8fdb-8673d7081067\setupocxfile
- %APPDATA%\mymacro\qdisp.dll
- %TEMP%\8f2d.tmp
- %TEMP%\8b6a.tmp
- %TEMP%\8bb9.tmp
- %TEMP%\8c08.tmp
- %TEMP%\8c58.tmp
- %TEMP%\8ca7.tmp
- %TEMP%\8d15.tmp
- %TEMP%\8d74.tmp
- %TEMP%\8dd3.tmp
- %TEMP%\8e41.tmp
- %TEMP%\8eaf.tmp
- %TEMP%\plugin.zip
- <Текущая директория>\cfgdll.dll
- <Текущая директория>\plugin\msg.dll
- <Текущая директория>\plugin\window.dll
- <Текущая директория>\plugin\zydd.dll
- <Текущая директория>\plugin\sydt.dll
- <Текущая директория>\plugin\regdll.dll
- <Текущая директория>\plugin\file.dll
- <Текущая директория>\plugin\media.dll
- <Текущая директория>\plugin\sys.dll
- %TEMP%\mymacro.zip
- %TEMP%\background.bmp
- <Текущая директория>\shieldmodule.dat
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012020030120200302\index.dat
Удаляет следующие файлы
- %TEMP%\plugin.zip
- %TEMP%\mymacro.zip
Перемещает следующие файлы
- %APPDATA%\qmacro\ocx\2bed3270-f72c-40bc-8cb6-9e3b1e88fedd\setupocxfile в %APPDATA%\qmacro\ocx\2bed3270-f72c-40bc-8cb6-9e3b1e88fedd\shuaguai.ocx
- %APPDATA%\qmacro\ocx\09118d6f-df59-46ab-9122-35aad76c8243\setupocxfile в %APPDATA%\qmacro\ocx\09118d6f-df59-46ab-9122-35aad76c8243\shuaguai.ocx
- %APPDATA%\qmacro\ocx\1eecca4f-53ea-49a3-b256-3d61816fac54\setupocxfile в %APPDATA%\qmacro\ocx\1eecca4f-53ea-49a3-b256-3d61816fac54\caiji.ocx
- %APPDATA%\qmacro\ocx\5920c5fc-b744-4004-94c3-d6fce0009a98\setupocxfile в %APPDATA%\qmacro\ocx\5920c5fc-b744-4004-94c3-d6fce0009a98\caiji.ocx
- %APPDATA%\qmacro\ocx\c009f31b-b044-413e-9414-0507c27957df\setupocxfile в %APPDATA%\qmacro\ocx\c009f31b-b044-413e-9414-0507c27957df\zhongzhi.ocx
- %APPDATA%\qmacro\ocx\2413b6f8-5e5d-4823-8fdb-8673d7081067\setupocxfile в %APPDATA%\qmacro\ocx\2413b6f8-5e5d-4823-8fdb-8673d7081067\zhongzhi.ocx
- %APPDATA%\qmacro\ocx\24130505-b60c-43e2-b591-48a281a43367\setupocxfile в %APPDATA%\qmacro\ocx\24130505-b60c-43e2-b591-48a281a43367\paoshang.ocx
- %APPDATA%\qmacro\ocx\59a5c0ef-acf1-499a-bd8a-69f17e81a9c5\setupocxfile в %APPDATA%\qmacro\ocx\59a5c0ef-acf1-499a-bd8a-69f17e81a9c5\paoshang.ocx
- %APPDATA%\qmacro\ocx\28a0bc64-a2d4-407a-9856-eedcc1b77bee\setupocxfile в %APPDATA%\qmacro\ocx\28a0bc64-a2d4-407a-9856-eedcc1b77bee\datu.ocx
- %APPDATA%\qmacro\ocx\fde694c6-9fa3-440a-a35e-9fd0d74232e3\setupocxfile в %APPDATA%\qmacro\ocx\fde694c6-9fa3-440a-a35e-9fd0d74232e3\datu.ocx
- %APPDATA%\qmacro\ocx\0164e5c4-7b27-4993-bd3b-90c3f0325942\setupocxfile в %APPDATA%\qmacro\ocx\0164e5c4-7b27-4993-bd3b-90c3f0325942\xiaogongju.ocx
- %TEMP%\background.bmp в %TEMP%\b80background.bmp
Сетевая активность
TCP
Запросы HTTP GET
- http://c.###huoa.com/banner/Q04967.htm
UDP
- DNS ASK c.###huoa.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
