Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Quasar Client Startup' = '"%TEMP%\Zwspvhnevzqty.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowssystemhost
Вредоносные функции
Загружает и запускает на исполнение
- www.si##.com/server.exe как %temp%\test.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\uwswxuqtmykt.lnk
- %TEMP%\zwspvhnevzqty.exe
Сетевая активность
Подключается к
- 'ip##pi.com':80
- 'pr#######omment.at.playit.gg':29022
TCP
Запросы HTTP GET
- http://ip##pi.com/json/
Другие
- 'pr#######omment.at.playit.gg':29022
UDP
- DNS ASK ip##pi.com
- DNS ASK pr#######omment.at.playit.gg
Другое
Создает и запускает на исполнение
- '%TEMP%\zwspvhnevzqty.exe'
- '<SYSTEM32>\schtasks.exe' /create /tn "WINDOWSSYSTEMHOST" /tr "%TEMP%\Zwspvhnevzqty.exe" /sc MINUTE /MO 1' (со скрытым окном)
- '%TEMP%\zwspvhnevzqty.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "WINDOWSSYSTEMHOST" /tr "%TEMP%\Zwspvhnevzqty.exe" /sc MINUTE /MO 1
- '<SYSTEM32>\taskeng.exe' {9CD55D54-E68E-43ED-8DDB-2CB3F1D0D432} S-1-5-21-1960123792-2022915161-3775307078-1001:juyamysasbc\user:Interactive:[1]
