Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\qhoslzlsf] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\qhoslzlsf] 'ImagePath' = '%WINDIR%\SysWOW64\VPCache\sensor.exe qhoslzlsf'
Создает следующие сервисы
- 'qhoslzlsf' %WINDIR%\SysWOW64\VPCache\sensor.exe qhoslzlsf
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\vpcache\rundes.exe
- %WINDIR%\syswow64\vpcache\sensor.exe
Перемещает следующие файлы
- %WINDIR%\syswow64\vpcache\rundes.exe в <SYSTEM32>\wostmp\_895259558_816479112
Самоперемещается
- из <Полный путь к файлу> в %WINDIR%\syswow64\wostmp\_1086149724_1785254589
Сетевая активность
UDP
- '1.###.248.27':27930
- '12#.#8.33.17':27930
- '11#.#19.252.204':27930
- '11#.#3.15.166':27930
- '11#.#8.238.194':27930
- '11#.#93.17.179':27930
- '10#.#4.137.178':27930
- '91.#87.99.3':27930
- '82.##.198.189':27930
- '61.##4.50.237':27930
- '59.##.201.97':27930
- '58.##.147.71':27930
- '22#.#1.122.230':27930
- '18#.#1.63.214':27930
- '18#.#8.212.176':27930
- '12#.#60.154.252':27930
- '11#.#10.212.150':27930
- '10#.#16.52.20':27930
- '98.##9.82.42':27930
- '79.##9.58.172':27930
- '46.##4.233.178':27930
- '<LOCALNET>.33.4':27930
- '10#.#1.194.192':16800
- '<LOCALNET>.33.3':27930
- '<LOCALNET>.33.2':27930
- '<LOCALNET>.33.1':27930
- '22#.#27.139.235':27930
- '<LOCALNET>.33.0':27930
- '12#.#47.83.95':27930
- '12#.#60.58.206':27930
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\vpcache\rundes.exe'
- '%WINDIR%\syswow64\vpcache\sensor.exe' qhoslzlsf
