Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'QzGYHjqDDM' = '%APPDATA%\YiPcBXBaKL\MiEHQqJtJB.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\quasar client startup
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- windows.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\yipcbxbakl\miehqqjtjb.exe
- %ProgramFiles(x86)%\subdir\windows.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
- %ProgramFiles(x86)%\subdir\windows.exe
Сетевая активность
TCP
- '5.##.93.210':5555
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\subdir\windows.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "Quasar Client Startup" /sc ONLOGON /tr "<Полный путь к файлу>" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "Quasar Client Startup" /sc ONLOGON /tr "%ProgramFiles(x86)%\SubDir\Windows.exe" /rl HIGHEST /f
