Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\deadsvc64
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\dllhost.exe
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\services.exe
- <SYSTEM32>\lsass.exe
- <SYSTEM32>\lsm.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\taskhost.exe
- <SYSTEM32>\dwm.exe
- %WINDIR%\explorer.exe
- <SYSTEM32>\wudfhost.exe
- <SYSTEM32>\sppsvc.exe
- <SYSTEM32>\taskeng.exe
- <SYSTEM32>\windowspowershell\v1.0\powershell.exe
- <SYSTEM32>\conhost.exe
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\uninstaller.exe
- %TEMP%\qexyprsb.exe
- %TEMP%\jszkixxo.exe
- %TEMP%\deadmrwco.exe
- %TEMP%\installer.exe
Удаляет следующие файлы
- %TEMP%\qexyprsb.exe
- %TEMP%\jszkixxo.exe
- <SYSTEM32>\tasks\deadsvc64
- %TEMP%\uninstaller.exe
- %TEMP%\installer.exe
Другое
Создает и запускает на исполнение
- '%TEMP%\uninstaller.exe'
- '%TEMP%\qexyprsb.exe'
- '%TEMP%\jszkixxo.exe'
- '%TEMP%\deadmrwco.exe'
- '%TEMP%\installer.exe'
Запускает на исполнение
- '<SYSTEM32>\dllhost.exe' /Processid:{b4f2e6ca-4705-42b6-a438-f032ff067a0b}
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+'O'+''+[Char](70)+''+[Char](84)+'W'+[Char](65)+''+'R'+''+'E'+'').GetValue(''+[Char](68)+'ea'+'d'+''+[Char](1... (со скрытым окном)
