Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe <SYSTEM32>\CNNSCQQ.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cnnscqq.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\cnnscqq.dll
- %WINDIR%\syswow64\dllhost.dll
- %WINDIR%\syswow64\cnnscqq.exe
- %WINDIR%\syswow64\deleteme.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\cnnscqq.dll
- %WINDIR%\syswow64\dllhost.dll
- %WINDIR%\syswow64\cnnscqq.exe
Самоудаляется.
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cnnscqq.exe'
- '%WINDIR%\syswow64\cnnscqq.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\Deleteme.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\Deleteme.bat
