Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = 'IeBrowserEx.dll'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\HyQgg.exe' 2284936
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\d010246837dab01e4404dba1dca0efef_23ef5514-3059-436f-a4a7-4cefaab20eb1
- <SYSTEM32>\HyQgg.dll
- <SYSTEM32>\IeBrowserEx.dll
- <SYSTEM32>\wxcam.dll
- <SYSTEM32>\ie.dat
- <SYSTEM32>\HyQgg.exe
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\2779036c-a29a-47ae-9d79-dbfac46ff484
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\Preferred
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\c0528c2346cb928a9052304ef3ab8fd4_23ef5514-3059-436f-a4a7-4cefaab20eb1
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\5a8ff7a6ad7e38ec83dcaa35f9967198_23ef5514-3059-436f-a4a7-4cefaab20eb1
Удаляет следующие файлы:
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\c0528c2346cb928a9052304ef3ab8fd4_23ef5514-3059-436f-a4a7-4cefaab20eb1
Другое:
Ищет следующие окна:
- ClassName: 'TApplication' WindowName: '???????'
- ClassName: 'Progman' WindowName: 'Program Manager'
- ClassName: '(null)' WindowName: ' ?? ???? ??'
