Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Microsoft .NET Framework NGEN v4.0.50806_X86] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Microsoft .NET Framework NGEN v4.0.50806_X86] 'ImagePath' = '<SYSTEM32>\zqbzqy.exe'
Создает следующие сервисы
- 'Microsoft .NET Framework NGEN v4.0.50806_X86' <SYSTEM32>\zqbzqy.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\zqbzqy.exe
- C:\documents and settings\all users\start menu\programs\startup\koz
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\zqbzqy.exe
- <Полный путь к файлу>
Самоперемещается
- из <Полный путь к файлу> в C:\documents and settings\all users\¸ª¼¹ë¥\ìò\ГґВЇ\zqw
Сетевая активность
Подключается к
- '34.##9.100.209':443
- '<LOCALNET>.45.1':445
- '<LOCALNET>.45.1':139
- '<LOCALNET>.45.1':80
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK 67####475.3322.org
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\zqbzqy.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del <Полный путь к файлу> > nul (со скрытым окном)
