Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\CQAZMEWF] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\CQAZMEWF] 'ImagePath' = '%ALLUSERSPROFILE%\yqqntjbdratu\uwmwgiaclvem.exe'
Создает следующие сервисы
- 'CQAZMEWF' %ALLUSERSPROFILE%\yqqntjbdratu\uwmwgiaclvem.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Журнал событий Windows (Windows Event Logging)
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\yqqntjbdratu\uwmwgiaclvem.exe
- %WINDIR%\temp\nwpqlclqkuqm.sys
Сетевая активность
Подключается к
- 'po##.#upportxmr.com':3333
- 'de####tonight.cc':443
TCP
Другие
- 'po##.#upportxmr.com':3333
- 'de####tonight.cc':443
UDP
- DNS ASK po##.#upportxmr.com
- DNS ASK de####tonight.cc
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\yqqntjbdratu\uwmwgiaclvem.exe'
Запускает на исполнение
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-dc 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-dc 0
- '<SYSTEM32>\sc.exe' delete "CQAZMEWF"
- '<SYSTEM32>\sc.exe' create "CQAZMEWF" binpath= "%ALLUSERSPROFILE%\yqqntjbdratu\uwmwgiaclvem.exe" start= "auto"
- '<SYSTEM32>\sc.exe' stop eventlog
- '<SYSTEM32>\sc.exe' start "CQAZMEWF"
- '<SYSTEM32>\conhost.exe'
