Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\maintenance\systemhealthcheck
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Компонент восстановления системы (SR)
удаляет теневые копии разделов.
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\bqt_log.txt
- %WINDIR%\temp\bqt_screenshot_879140.png
- %WINDIR%\temp\bqt_wallpaper.bmp
- %WINDIR%\temp\bqt_icon.ico
- %WINDIR%\temp\bqt_screenshot_914718.png
Изменяет следующие файлы
- %APPDATA%\microsoft\windows\themes\cachedfiles\cachedimage_1152_864_pos2.jpg
Сетевая активность
Подключается к
- 'ic###azip.com':80
- 'di##ord.com':443
TCP
Запросы HTTP GET
- http://ic###azip.com/
Другие
- 'di##ord.com':443
UDP
- DNS ASK ic###azip.com
- DNS ASK di##ord.com
Другое
Запускает на исполнение
- '<SYSTEM32>\bcdedit.exe' /set {default} bootstatuspolicy ignoreallfailures (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "Microsoft\Windows\Maintenance\SystemHealthCheck" /tr "<Полный путь к файлу>" /sc onlogon /rl HIGHEST /f (со скрытым окном)
- '<SYSTEM32>\vssadmin.exe' delete shadows /all /quiet (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' shadowcopy delete (со скрытым окном)
- '<SYSTEM32>\bcdedit.exe' /set {default} recoveryenabled no (со скрытым окном)
