Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Rswoeo igyeekii] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Rswoeo igyeekii] 'ImagePath' = '%WINDIR%\Kiwwqe.pif -auto'
Создает следующие сервисы
- 'Rswoeo igyeekii' %WINDIR%\Kiwwqe.pif -auto
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\e3f31.tmp
- %TEMP%\e3f70.tmp
- %TEMP%\e3f81.tmp
- %TEMP%\yq.exe
- C:\input.txt
- %WINDIR%\kiwwqe.pif
Удаляет следующие файлы
- %TEMP%\e3f31.tmp
- %TEMP%\e3f70.tmp
- %TEMP%\e3f81.tmp
- C:\input.txt
- %TEMP%\yq.exe
Подменяет следующие файлы
- C:\input.txt
Сетевая активность
Подключается к
- '22#.#87.222.105':2222
- 'na###uan.com':2021
TCP
Другие
- '22#.#87.222.105':2222
UDP
- DNS ASK 1.###j999.xyz
- DNS ASK na###uan.com
Другое
Ищет следующие окна
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\yq.exe'
- '%WINDIR%\kiwwqe.pif' -auto
- '%WINDIR%\kiwwqe.pif' -acsi
- '%TEMP%\yq.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del %TEMP%\yq.exe > nul' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del %TEMP%\yq.exe > nul
