Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'ÉÏÍøºËÐÄ·þÎñ' = '%ProgramFiles(x86)%\qqntfo\qqntfo.exe'
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\qqntfo\qqntfo.exe
- %ProgramFiles(x86)%\qqntfo\bud.dat
Удаляет следующие файлы
- %ProgramFiles(x86)%\qqntfo\bud.dat
Сетевая активность
Подключается к
- 'ba##u.com':80
TCP
Запросы HTTP GET
- http://www.ba##u.com/
UDP
- DNS ASK ba##u.com
- DNS ASK ad####.uenet.info
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\qqntfo\qqntfo.exe'
