Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\Bcdefg] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Bcdefg] 'ImagePath' = '%WINDIR%\svchost.exe'
Создает следующие сервисы
- 'Bcdefg' %WINDIR%\svchost.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\nslookup.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\qq.exe
- %WINDIR%\svchost.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\svchost.exe
Перемещает следующие файлы
- %WINDIR%\qq.exe в %TEMP%\[4df8afc3ea0e42163b1bc98de50ccb74]
- %WINDIR%\svchost.exe в %WINDIR%\syswow64\1069995.bak
Подменяет следующие файлы
- %WINDIR%\qq.exe
Сетевая активность
TCP
- '49.##2.144.22':6875
Другое
Ищет следующие окна
- ClassName: 'DiDaSG' WindowName: ''
- ClassName: 'DiDaGrid' WindowName: ''
- ClassName: 'DiDaViewCtrl' WindowName: ''
- ClassName: 'ConsoleWindowClass' WindowName: ''
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\qq.exe'
- '%WINDIR%\svchost.exe'
- '%WINDIR%\qq.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\nslookup.exe' ' (со скрытым окном)
- '%WINDIR%\svchost.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\nslookup.exe'
