Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'QQbuse' = '%ProgramFiles%\Adobe\Explorer.exe'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'QQbrowrse' = '%ProgramFiles%\idcdps\QQbrowrse.exe'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'QQbuser' = '%ProgramFiles%\Adobe\Delete.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\adobe\explorer.exe
- %ProgramFiles%\idcdps\qqbrowrse.exe
- %ProgramFiles%\adobe\delete.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %ProgramFiles%\adobe\explorer.exe
- %ProgramFiles%\idcdps\qqbrowrse.exe
- %ProgramFiles%\adobe\delete.exe
Сетевая активность
Подключается к
- 'dq##yz.cn':81
TCP
Запросы HTTP GET
- http://www.dq###z.cn:81/exe.php?e=### via dq##yz.cn
- http://www.dq###z.cn:81/ via dq##yz.cn
UDP
- DNS ASK dq##yz.cn
Другое
Ищет следующие окна
- ClassName: 'CabinetWClass' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles%\idcdps\qqbrowrse.exe'
- '%ProgramFiles%\adobe\explorer.exe'
