Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\XFxRhu LiqkI] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\XFxRhu LiqkI] 'ImagePath' = '%ProgramFiles(x86)%\CvqbMy.exe Service 1'
Создает следующие сервисы
- 'XFxRhu LiqkI' %ProgramFiles(x86)%\CvqbMy.exe Service 1
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\cvqbmy.exe
- nul
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\_@954c.tmp
Самоудаляется.
Сетевая активность
Подключается к
- 'he###hei.com':2029
UDP
- DNS ASK he###hei.com
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\cvqbmy.exe' -auto
- '%ProgramFiles(x86)%\cvqbmy.exe' Service 1
- '%ProgramFiles(x86)%\cvqbmy.exe' -a1
- '%WINDIR%\syswow64\cmd.exe' cmd/c ping -n 2 127.0.0.1 > nul && del %TEMP%\_@954C.tmp > nul' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' cmd/c ping -n 2 127.0.0.1 > nul && del %TEMP%\_@954C.tmp > nul
- '%WINDIR%\syswow64\ping.exe' -n 2 127.0.0.1
