Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'SchMainSTD' = '%APPDATA%\z1618501362\run.vbs'
Создает или изменяет следующие файлы
- %TEMP%\qnisnjpum.exe
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\qnisnjpum.exe'
Внедряет код в
следующие пользовательские процессы:
- steam.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\qnisnjpum.exe
- %APPDATA%\z1618501362\inst.txt
- %APPDATA%\z1618501362\uninstall\del.bat
- %APPDATA%\z1618501362\run.vbs
- %APPDATA%\z1618501362\ezexit.bat
- nul
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\start menu\programs\startup\steam.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://fo####put-apa.ro/se.exe
UDP
- DNS ASK fo####put-apa.ro
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\steam.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C ping 1.1.1.1 -n 4 && del %TEMP%\QNISNJPUM.exe
- '%WINDIR%\syswow64\ping.exe' 1.1.1.1 -n 4
- '%WINDIR%\syswow64\cmd.exe' /c %APPDATA%\z1618501362\ezExit.bat
- '%WINDIR%\syswow64\tasklist.exe' /FI "IMAGENAME eq Steam.exe"
- '%WINDIR%\syswow64\find.exe' /I /N "Steam.exe"
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 2
