Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'MSSMSGS' = 'rundll32.exe winguo32.rom,ipkzSz'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\qdh96e2.exe
- %TEMP%\llq9bf0.tmp
- %WINDIR%\syswow64\winguo32.rom
- %TEMP%\llq9bf0.bat
- %TEMP%\qdh96e2.bat
Удаляет следующие файлы
- %TEMP%\qdh96e2.exe
- %TEMP%\llq9bf0.tmp
Сетевая активность
UDP
- DNS ASK sa###oft.net
Другое
Ищет следующие окна
- ClassName: 'IEFrame' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\qdh96e2.exe' G9sv2YLMj5DjhDbEm
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\Llq9BF0.bat" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\QDH96E2.bat" (со скрытым окном)
