Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\wa\ldvdqk
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\qpsukru\sartst.chm
- %APPDATA%\qpsukru\sartst.exe
- %TEMP%\a78b.tmp
- %TEMP%\ac01.tmp
- %TEMP%\ac51.tmp
- %TEMP%\ac90.tmp
- %TEMP%\acef.tmp
- %TEMP%\adab.tmp
- %TEMP%\aed5.tmp
- %TEMP%\af44.tmp
- %TEMP%\af93.tmp
- %TEMP%\aff2.tmp
- %TEMP%\b031.tmp
- %TEMP%\b080.tmp
- %TEMP%\b0b0.tmp
- %TEMP%\b0ff.tmp
- %TEMP%\b15e.tmp
- %TEMP%\b1ad.tmp
- %TEMP%\b25a.tmp
- %TEMP%\b2f7.tmp
- %TEMP%\b385.tmp
- %TEMP%\b432.tmp
- %TEMP%\b471.tmp
- %TEMP%\b4e0.tmp
- %TEMP%\b629.tmp
- %TEMP%\b733.tmp
- %TEMP%\b80f.tmp
- %TEMP%\b88d.tmp
- %TEMP%\b8dc.tmp
- %TEMP%\b91c.tmp
- %TEMP%\b97a.tmp
- %TEMP%\b97c.tmp
- %TEMP%\b9cc.tmp
- %TEMP%\ba1b.tmp
- %TEMP%\ba3b.tmp
- %TEMP%\baa9.tmp
- %TEMP%\bb37.tmp
- %TEMP%\bbd4.tmp
Удаляет файлы, которые сам же создал
- %TEMP%\ac01.tmp
- %TEMP%\ac51.tmp
- %TEMP%\ac90.tmp
- %TEMP%\acef.tmp
- %TEMP%\adab.tmp
- %TEMP%\b91c.tmp
- %TEMP%\b97a.tmp
- %TEMP%\b97c.tmp
- %TEMP%\b9cc.tmp
- %TEMP%\ba1b.tmp
Сетевая активность
UDP
- DNS ASK fy###r34.top
Другое
Создает и запускает на исполнение
- '%APPDATA%\qpsukru\sartst.exe' "%APPDATA%\qpsukru\sartst.chm"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C schtasks.exe /create /tn \Wa\ldvdqk /tr """"%APPDATA%\qpsukru\sartst.exe""" """%APPDATA%\qpsukru\sartst.chm"""" /sc once /ri 1 /f /du 9174:19 /st 00:02 (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /tn \Wa\ldvdqk /tr """"%APPDATA%\qpsukru\sartst.exe""" """%APPDATA%\qpsukru\sartst.chm"""" /sc once /ri 1 /f /du 9174:19 /st 00:02
