Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\JQNZTkiqXS] 'ImagePath' = '<DRIVERS>\JQNZTkiqXS.sys'
Создает следующие сервисы
- 'JQNZTkiqXS' <DRIVERS>\JQNZTkiqXS.sys
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\otalm.txt
- %WINDIR%\shellnew\6860.tmp
- %WINDIR%\shellnew\wu04\c_10229.nls
- %WINDIR%\remotepackages\8640.tmp
- %WINDIR%\remotepackages\fh69.exe
- %WINDIR%\setup\5943.tmp
- %WINDIR%\setup\wu99\c_10447.nls
- <DRIVERS>\jqnztkiqxs.sys
- %APPDATA%\mozilla\firefox\profiles\gn7ryp3k.default\cert9.db
- %APPDATA%\mozilla\firefox\profiles\gn7ryp3k.default\key4.db
Удаляет следующие файлы
- %WINDIR%\shellnew\6860.tmp
- %WINDIR%\remotepackages\8640.tmp
- %WINDIR%\setup\5943.tmp
- <DRIVERS>\jqnztkiqxs.sys
Сетевая активность
TCP
Запросы HTTP GET
- http://li##.##kuai8.com:6666/47f5beb28720d88ac09f9b2aab4c8573.txt via li##.#dkuai8.com
- http://61.###.11.135:6666/442b5a7550d1b7f0d759cd388d6fcb0e.exe via 61.##0.11.135
- http://47.##.220.198:7894/0a002700002c.txt via 47.##.220.198
- http://61.###.11.135:50522/b6a18154611e9a17502c6e47ef4881b4.zip via 61.##0.11.135
- http://61.###.11.135:50382/65e4e58b2476aa567098fdefb918e262.zip via 61.##0.11.135
UDP
- DNS ASK M8#####8.adkuai8.com
- DNS ASK li##.#dkuai8.com
- DNS ASK cn.bing.com
- '<LOCALNET>.44.255':18691
- '47.##.220.198':7898
- '47.##.220.198':8081
- '47.##.119.96':21785
Другое
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "<Полный путь к файлу>"
