Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{B2DFF479-372E-419a-B29B-E6CE939BC16B}] 'stubpath' = '<SYSTEM32>\inqcxrfhg.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\userinit.exe
Изменения в файловой системе
Создает следующие файлы
- C:\sms¹®à úå×·¯±â.exe
- C:\server.exe
- %WINDIR%\syswow64\inqcxrfhg.exe
- %WINDIR%\syswow64\inqcxrfhg.exe_lang.ini
- %TEMP%\786151_res.tmp
Перемещает следующие файлы
- %TEMP%\786151_res.tmp в %TEMP%\786182_lang.dll
Сетевая активность
Подключается к
- '22#.#8.202.227':5220
Другое
Создает и запускает на исполнение
- 'C:\sms¹®à úå×·¯±â.exe'
- 'C:\server.exe'
- '%WINDIR%\syswow64\inqcxrfhg.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\userinit.exe' (со скрытым окном)
