Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 'dtseqrxk' = '{70A65C37-E551-403A-90A4-4CEC5F2D5166}'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 'mgxfebsq' = '{5573685F-2148-4963-862F-8E5C074CC6C1}'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\ac8zt2\mqgldfvo.exe' reg
- '%TEMP%\ac8zt2\efwl.exe' reeon
- '%TEMP%\ac8zt2\efwl.exe' %WINDIR%\mgxfebsq.dll mgxfebsq
- '%TEMP%\ac8zt2\efwl.exe' %WINDIR%\dtseqrxk.dll dtseqrxk
Запускает на исполнение:
- '%WINDIR%\explorer.exe'
- '<SYSTEM32>\regsvr32.exe' /s fqbewlna.dll
- '<SYSTEM32>\regsvr32.exe' /s %WINDIR%\vmgspntbpfe.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\efwl.exe
- %WINDIR%\mqgldfvo.exe
- %WINDIR%\mgxfebsq.dll
- %TEMP%\nsj4.tmp.bat
- %TEMP%\nsj3.tmp\System.dll
- %WINDIR%\vmgspntbpfe.dll
- %TEMP%\ac8zt2\mqgldfvo.exe
- %TEMP%\ac8zt2\mgxfebsq.dll
- %TEMP%\nsj3.tmp\blowfish_d.dll
- %TEMP%\nse2.tmp
- %TEMP%\ac8zt2\install.bat
- %TEMP%\ac8zt2\efwl.exe
- %TEMP%\ac8zt2\vmgspntbpfe.dll
Удаляет следующие файлы:
- %TEMP%\ac8zt2\vmgspntbpfe.dll
- %TEMP%\nsj3.tmp\blowfish_d.dll
- %TEMP%\nsj3.tmp\System.dll
- %TEMP%\ac8zt2\mqgldfvo.exe
- %TEMP%\ac8zt2\efwl.exe
- %TEMP%\ac8zt2\install.bat
- %TEMP%\ac8zt2\mgxfebsq.dll
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'OleMainThreadWndClass' WindowName: ''
- ClassName: 'SystemTray_Main' WindowName: ''
- ClassName: 'CSCHiddenWindow' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
- ClassName: 'Proxy Desktop' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'BaseBar' WindowName: 'ChanApp'
