Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\pjzwmccv] 'ImagePath' = '%WINDIR%\SysWOW64\pjzwmccv.sys'
Создает следующие сервисы
- 'pjzwmccv' %WINDIR%\SysWOW64\pjzwmccv.sys
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- qmproxyvpnhelper.exe
Изменения в файловой системе
Создает следующие файлы
- C:\2.txt
- %WINDIR%\vcscontrol.dll
- C:\qmproxyvpnhelper.exe
- %HOMEPATH%\desktop\1.jpg
- %WINDIR%\gg.wav
- %WINDIR%\kq.wav
- %WINDIR%\gb.wav
- %WINDIR%\zero.wav
- %WINDIR%\one.wav
- %WINDIR%\two.wav
- %WINDIR%\three.wav
- %WINDIR%\four.wav
- %WINDIR%\five.wav
- %WINDIR%\six.wav
- %WINDIR%\kq1.wav
- %WINDIR%\syswow64\pjzwmccv.sys
Удаляет следующие файлы
- C:\2.txt
- %WINDIR%\syswow64\pjzwmccv.sys
Перемещает следующие файлы
- %WINDIR%\vcscontrol.dll в %TEMP%\1004927\....\temporaryfile
Другое
Добавляет корневой сертификат
Ищет следующие окна
- ClassName: 'UnrealWindow' WindowName: ''
Создает и запускает на исполнение
- 'C:\qmproxyvpnhelper.exe'
- 'C:\qmproxyvpnhelper.exe' ' (со скрытым окном)
