Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\wqqv] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\wqqv] 'ImagePath' = '<SYSTEM32>\svchost.exe -k netsvcs'
- [HKLM\SYSTEM\CurrentControlSet\Services\wqqv\Parameters] 'ServiceDll' = '%ProgramFiles%\rllq\bvva.dll'
Создает следующие сервисы
- 'wqqv' <SYSTEM32>\svchost.exe -k netsvcs
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\rllq\qkkp.ini
- %ProgramFiles(x86)%\rllq\bvva.dll
- %ProgramFiles(x86)%\rllq\mggl.ini
- %ProgramFiles(x86)%\rllq\eyyd.dll
- %ProgramFiles(x86)%\rllq\gaaf.dll
- %ProgramFiles(x86)%\rllq\jddi.dll
- %ProgramFiles(x86)%\rllq\xrrw.dll
- %ProgramFiles(x86)%\rllq\hbbg.lex
- %ProgramFiles(x86)%\rllq\uootlex.ini
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Самоперемещается
- из <Полный путь к файлу> в C:\~dedf27.tmp
Самоудаляется.
Сетевая активность
UDP
- DNS ASK up####.borlander.cn
- DNS ASK bo####der.com.cn
- DNS ASK bo###nder.cn
Другое
Ищет следующие окна
- ClassName: '_std_ad_wnd_' WindowName: '_std_ad_wnd_'
- ClassName: '_stdup_cha_wnd_' WindowName: '_stdup_cha_wnd_'
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' C:\PROGRA~2\rllq\bvva.dll,Service
