Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\Wsqbtn zcamkpbr] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Wsqbtn zcamkpbr] 'ImagePath' = '%ProgramFiles(x86)%\Microsoft Pqlmdy\Qxnxsrx.exe'
Создает следующие сервисы
- 'Wsqbtn zcamkpbr' %ProgramFiles(x86)%\Microsoft Pqlmdy\Qxnxsrx.exe
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\apppatch\netsyst96.dll
- %ProgramFiles(x86)%\microsoft pqlmdy\qxnxsrx.exe
- %WINDIR%\syswow64\config\systemprofile\appdata\locallow\microsoft\cryptneturlcache\metadata\fa0a17bc17ff10008872a7205d0d43e2_5fe90e28a5c4f66460b6a36ecff82c5e
- %WINDIR%\syswow64\config\systemprofile\appdata\locallow\microsoft\cryptneturlcache\content\fa0a17bc17ff10008872a7205d0d43e2_5fe90e28a5c4f66460b6a36ecff82c5e
- %WINDIR%\syswow64\config\systemprofile\appdata\locallow\microsoft\cryptneturlcache\metadata\9d161b3cd7c8b9d7b5c97e4395a9abd5_557dae88cafc73c1280cbc72a453bdbd
- %WINDIR%\syswow64\config\systemprofile\appdata\locallow\microsoft\cryptneturlcache\content\9d161b3cd7c8b9d7b5c97e4395a9abd5_557dae88cafc73c1280cbc72a453bdbd
Самоудаляется.
Сетевая активность
Подключается к
- '19#.#44.145.104':80
- '19#.#44.145.104':5623
- 'us###.qzone.qq.com':80
- 'us###.qzone.qq.com':443
- 'oc##.dcocsp.cn':80
TCP
Запросы HTTP GET
- http://oc##.dcocsp.cn/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTHv1Dj%2BciPJEWH5JNtwL5Y07mRqwQUxBF%2BiECGwkG%2FZfMa4bRTQKOr7H0CEArIzKqFYmE3jrS4gQrE3QI%3D
- http://us###.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?ui###########
UDP
- DNS ASK us###.qzone.qq.com
- DNS ASK oc##.dcocsp.cn
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\microsoft pqlmdy\qxnxsrx.exe'
