Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\.Net CLR] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\qqiuqi.exe'
- '%TEMP%\IXP000.TMP\svshost.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\vir2.exe
- <SYSTEM32>\vir3.exe
- <SYSTEM32>\vir1.exe
- %WINDIR%\qqiuqi.exe
- <SYSTEM32>\vir0.exe
- <SYSTEM32>\vir4.exe
- <SYSTEM32>\vir8.exe
- <SYSTEM32>\vir9.exe
- <SYSTEM32>\vir7.exe
- <SYSTEM32>\vir5.exe
- <SYSTEM32>\vir6.exe
- %TEMP%\IXP000.TMP\vir2.exe
- %TEMP%\IXP000.TMP\vir3.exe
- %TEMP%\IXP000.TMP\vir1.exe
- %TEMP%\IXP000.TMP\svshost.exe
- %TEMP%\IXP000.TMP\vir0.exe
- %TEMP%\IXP000.TMP\vir4.exe
- %TEMP%\IXP000.TMP\vir8.exe
- %TEMP%\IXP000.TMP\vir9.exe
- %TEMP%\IXP000.TMP\vir7.exe
- %TEMP%\IXP000.TMP\vir5.exe
- %TEMP%\IXP000.TMP\vir6.exe
Удаляет следующие файлы:
- %TEMP%\IXP000.TMP\vir6.exe
- %TEMP%\IXP000.TMP\vir5.exe
- %TEMP%\IXP000.TMP\vir7.exe
- %TEMP%\IXP000.TMP\vir9.exe
- %TEMP%\IXP000.TMP\vir8.exe
- %TEMP%\IXP000.TMP\vir4.exe
- %TEMP%\IXP000.TMP\vir0.exe
- %TEMP%\IXP000.TMP\svshost.exe
- %TEMP%\IXP000.TMP\vir1.exe
- %TEMP%\IXP000.TMP\vir3.exe
- %TEMP%\IXP000.TMP\vir2.exe
Сетевая активность:
Подключается к:
- 'dk####456.f3322.org':2014
UDP:
- DNS ASK dk####456.f3322.org
