Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\tqdpoenarben.exe
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\correct.avi
- <Имя диска съемного носителя>:\sdszfo.docx
- <Имя диска съемного носителя>:\aoc_saq_d_v3_merchant.docx
- <Имя диска съемного носителя>:\applicantform_en.doc.exe
- <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer.exe
- <Имя диска съемного носителя>:\uep_form_786_bulletin_1726i602.doc.exe
- <Имя диска съемного носителя>:\holycrosschurchinstructions.docx
- <Имя диска съемного носителя>:\508softwareandos.doc.exe
- <Имя диска съемного носителя>:\contoso_1.cer.exe
- <Имя диска съемного носителя>:\ovp25012015.doc
- <Имя диска съемного носителя>:\508softwareandos.doc
- <Имя диска съемного носителя>:\uep_form_786_bulletin_1726i602.doc
- <Имя диска съемного носителя>:\applicantform_en.doc
- <Имя диска съемного носителя>:\testcertificate.cer.exe
- <Имя диска съемного носителя>:\pmd.cer
- <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
- <Имя диска съемного носителя>:\contoso_1.cer
- <Имя диска съемного носителя>:\testcertificate.cer
- <Имя диска съемного носителя>:\dashborder_192.bmp.exe
- <Имя диска съемного носителя>:\delete.avi.exe
- <Имя диска съемного носителя>:\correct.avi.exe
- <Имя диска съемного носителя>:\archer.avi.exe
- <Имя диска съемного носителя>:\dashborder_192.bmp
- <Имя диска съемного носителя>:\dashborder_144.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\toolbar.bmp
- <Имя диска съемного носителя>:\dialmap.bmp
- <Имя диска съемного носителя>:\archer.avi
- <Имя диска съемного носителя>:\delete.avi
- <Имя диска съемного носителя>:\gjryaxsrhq\hxxwwiriji.exe
- <Имя диска съемного носителя>:\file_p_00000000_1371597592.docx
- <Имя диска съемного носителя>:\thlps_keeper_mayer_1965.docx
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\at.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\applaunch.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\kjanahnqul\kjanahnqul.ico
- %ALLUSERSPROFILE%\kskwnugixh\holycrosschurchinstructions.docx.ico
- %ALLUSERSPROFILE%\kskwnugixh\lkqlmdnqqt
- %TEMP%\~temp1454600.tmp
- %ALLUSERSPROFILE%\kskwnugixh\ovp25012015.doc.ico
- %TEMP%\~temp1450653.tmp
- %TEMP%\~temp1449701.tmp
- %TEMP%\rcx3793.tmp
- %TEMP%\~temp1448812.tmp
- %ALLUSERSPROFILE%\kskwnugixh\biiemrlrfw
- %ALLUSERSPROFILE%\kskwnugixh\508softwareandos.doc.ico
- %ALLUSERSPROFILE%\kskwnugixh\kvijqnrmbl
- %ALLUSERSPROFILE%\kskwnugixh\uep_form_786_bulletin_1726i602.doc.ico
- %ALLUSERSPROFILE%\kskwnugixh\raxbwulbao
- %ALLUSERSPROFILE%\kskwnugixh\applicantform_en.doc.ico
- %TEMP%\~temp1450715.tmp
- %TEMP%\rcx3764.tmp
- %TEMP%\rcx3c06.tmp
- %TEMP%\rcx3cf0.tmp
- %ALLUSERSPROFILE%\kskwnugixh\sgvjpskqgd
- %TEMP%\~temp1462478.tmp
- %TEMP%\~temp1462244.tmp
- %ALLUSERSPROFILE%\kskwnugixh\thlps_keeper_mayer_1965.docx.ico
- %ALLUSERSPROFILE%\kskwnugixh\file_p_00000000_1371597592.docx.ico
- %TEMP%\rcx4c0d.tmp
- %TEMP%\rcx4a1a.tmp
- %TEMP%\~temp1460543.tmp
- %ALLUSERSPROFILE%\kskwnugixh\oqnvjyhbdy
- %TEMP%\~temp1460434.tmp
- %ALLUSERSPROFILE%\kskwnugixh\sdszfo.docx.ico
- %ALLUSERSPROFILE%\kskwnugixh\gjotxyueai
- %ALLUSERSPROFILE%\kskwnugixh\aoc_saq_d_v3_merchant.docx.ico
- %ALLUSERSPROFILE%\kskwnugixh\kdtnjiprid
- %TEMP%\rcx3c83.tmp
- %ALLUSERSPROFILE%\kskwnugixh\qasauxyihp
- %TEMP%\rcx5225.tmp
- %TEMP%\rcxbc3.tmp
- %ALLUSERSPROFILE%\kskwnugixh\acwyseomqg
- %ALLUSERSPROFILE%\kskwnugixh\tileimage.bmp.ico
- %ALLUSERSPROFILE%\kskwnugixh\tyrnrrixnl
- %ALLUSERSPROFILE%\kskwnugixh\toolbar.bmp.ico
- %ALLUSERSPROFILE%\kskwnugixh\bvmwfenusg
- %ALLUSERSPROFILE%\kskwnugixh\dialmap.bmp.ico
- %ALLUSERSPROFILE%\kskwnugixh\jekyrkarvw
- %ALLUSERSPROFILE%\kskwnugixh\cmoomoqmdj
- %ALLUSERSPROFILE%\kskwnugixh\archer.avi.ico
- %ALLUSERSPROFILE%\kskwnugixh\delete.avi.ico
- %ALLUSERSPROFILE%\kskwnugixh\qrxyrbposp
- %ALLUSERSPROFILE%\kskwnugixh\correct.avi.ico
- %ALLUSERSPROFILE%\kskwnugixh\mkythmmopr
- %ALLUSERSPROFILE%\kskwnugixh\kskwnugixh.ico
- %ALLUSERSPROFILE%\kjanahnqul\mspksyuplv
- %ALLUSERSPROFILE%\kskwnugixh\orpamffhkh
- %ALLUSERSPROFILE%\kskwnugixh\dashborder_144.bmp.ico
- %ALLUSERSPROFILE%\kskwnugixh\nqbthbuaja
- %ALLUSERSPROFILE%\kskwnugixh\dashborder_192.bmp.ico
- %TEMP%\~temp1434897.tmp
- %ALLUSERSPROFILE%\kskwnugixh\sdksampleprivdeveloper.cer.ico
- %ALLUSERSPROFILE%\kskwnugixh\osupwdrnmk
- %ALLUSERSPROFILE%\kskwnugixh\contoso_1.cer.ico
- %ALLUSERSPROFILE%\kskwnugixh\fiswnawwsa
- %ALLUSERSPROFILE%\kskwnugixh\testcertificate.cer.ico
- %TEMP%\rcxa479.tmp
- %TEMP%\~temp1411949.tmp
- %TEMP%\rcx8314.tmp
- %TEMP%\rcx6863.tmp
- %TEMP%\~temp1401310.tmp
- %TEMP%\~temp1399937.tmp
- %TEMP%\rcx5c42.tmp
- %TEMP%\~temp1399079.tmp
- %ALLUSERSPROFILE%\kskwnugixh\fcmtwktsgh
- %ALLUSERSPROFILE%\kskwnugixh\pmd.cer.ico
- %TEMP%\rcx533e.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- <Имя диска съемного носителя>:\gjryaxsrhq\hxxwwiriji.exe
- %APPDATA%\microsoft\windows\start menu\programs\startup\tqdpoenarben.exe
Перемещает следующие файлы
- %TEMP%\rcx5c42.tmp в %TEMP%\~temp1399079.tmp
- %TEMP%\rcx6863.tmp в %TEMP%\~temp1399937.tmp
- %TEMP%\rcx8314.tmp в %TEMP%\~temp1401310.tmp
- %TEMP%\rcxa479.tmp в %TEMP%\~temp1411949.tmp
- %TEMP%\rcxbc3.tmp в %TEMP%\~temp1434897.tmp
- %TEMP%\rcx3793.tmp в %TEMP%\~temp1449701.tmp
- %TEMP%\rcx3764.tmp в %TEMP%\~temp1454600.tmp
- %TEMP%\rcx3c06.tmp в %TEMP%\~temp1450715.tmp
- %TEMP%\rcx3cf0.tmp в %TEMP%\~temp1448812.tmp
- %TEMP%\rcx3c83.tmp в %TEMP%\~temp1450653.tmp
- %TEMP%\rcx4a1a.tmp в %TEMP%\~temp1460434.tmp
- %TEMP%\rcx4c0d.tmp в %TEMP%\~temp1460543.tmp
- %TEMP%\rcx5225.tmp в %TEMP%\~temp1462244.tmp
- %TEMP%\rcx533e.tmp в %TEMP%\~temp1462478.tmp
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
Подключается к
- 'za#####1.duckdns.org':6870
TCP
Другие
- 'za#####1.duckdns.org':6870
UDP
- DNS ASK za#####1.duckdns.org
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\applaunch.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\qrxyrbposp" /out "<Имя диска съемного носителя>:\correct.avi.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\correct.avi.ico" /bin "%ALLUSERSPROFILE%\kskwnugixh\mkyth...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\applaunch.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\orpamffhkh" /out "<Имя диска съемного носителя>:\delete.avi.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\delete.avi.ico" /bin "%ALLUSERSPROFILE%\kskwnugixh\mkythmm...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\applaunch.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\jekyrkarvw" /out "<Имя диска съемного носителя>:\archer.avi.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\archer.avi.ico" /bin "%ALLUSERSPROFILE%\kskwnugixh\mkythmm...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\fcmtwktsgh" /out "<Имя диска съемного носителя>:\dashBorder_192.bmp.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\dashBorder_192.bmp.ico" /bin "%ALLUSERSPROFILE%\ks...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\applaunch.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\fiswnawwsa" /out "<Имя диска съемного носителя>:\TestCertificate.cer.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\TestCertificate.cer.ico" /bin "%ALLUSERSPROFILE%\...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\osupwdrnmk" /out "<Имя диска съемного носителя>:\contoso_1.cer.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\contoso_1.cer.ico" /bin "%ALLUSERSPROFILE%\kskwnugixh\m...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\acwyseomqg" /out "<Имя диска съемного носителя>:\SDKSamplePrivDeveloper.cer.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\SDKSamplePrivDeveloper.cer.ico" /bin "%ALL...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\raxbwulbao" /out "<Имя диска съемного носителя>:\applicantform_en.doc.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\applicantform_en.doc.ico" /bin "%ALLUSERSPROFILE...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\kvijqnrmbl" /out "<Имя диска съемного носителя>:\uep_form_786_bulletin_1726i602.doc.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\uep_form_786_bulletin_1726i602.doc...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\biiemrlrfw" /out "<Имя диска съемного носителя>:\508softwareandos.doc.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\508softwareandos.doc.ico" /bin "%ALLUSERSPROFILE...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\kdtnjiprid" /out "<Имя диска съемного носителя>:\holycrosschurchinstructions.docx.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\holycrosschurchinstructions.docx.ico...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\gjotxyueai" /out "<Имя диска съемного носителя>:\aoc_saq_d_v3_merchant.docx.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\aoc_saq_d_v3_merchant.docx.ico" /bin "%ALL...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\oqnvjyhbdy" /out "<Имя диска съемного носителя>:\sdszfo.docx.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\sdszfo.docx.ico" /bin "%ALLUSERSPROFILE%\kskwnugixh\mkyth...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\applaunch.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\oqnvjyhbdy" /out "<Имя диска съемного носителя>:\file_p_00000000_1371597592.docx.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\file_p_00000000_1371597592.docx.ico" ...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\applaunch.exe' /in "%ALLUSERSPROFILE%\kskwnugixh\sgvjpskqgd" /out "<Имя диска съемного носителя>:\thlps_keeper_mayer_1965.docx.exe" /icon "%ALLUSERSPROFILE%\kskwnugixh\thlps_keeper_mayer_1965.docx.ico" /bin "...
