Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'aeEkEEcE.exe' = '%ALLUSERSPROFILE%\BWogoUMg\aeEkEEcE.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'pUccUkoM.exe' = '%HOMEPATH%\fCkYUMIQ\pUccUkoM.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\FkYQcQph] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\lwQggIEM\nwAEcgMA.exe'
- '%ALLUSERSPROFILE%\BWogoUMg\aeEkEEcE.exe'
- '%HOMEPATH%\fCkYUMIQ\pUccUkoM.exe'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\cYgQEkwI.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\FucUgAAI.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\JmEkgoYI.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\pccgUksE.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\YigUAUIs.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\jGwMgkIU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tIooQwcw.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\gywswMok.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe'
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\vKQoskwU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\duQUAIEQ.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\WWswIAEk.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\TYIQIsww.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\reg.exe' %TEMP%\file.vbs
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\imwwkgQo.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\jyQMIYoU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\TOUkwEwI.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\iqgUUcUw.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\oOQkAAEI.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\VGskwwwY.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\LsoIgUoM.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\iCYskIQE.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\ReMggwoA.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' %TEMP%\file.vbs
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\IIYocogM.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\JaEMwQQU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\YAYsscIk.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\KEEkscMc.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\OEgAooYs.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\vwoYAYMU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\KqQMgIcs.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\MmAEwIMs.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\bEMogsAw.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\XEoMUUcs.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\pwgUogAQ.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\IIwwQEYg.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\uiQsoEYE.bat" "<Полный путь к вирусу>""
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\cscript.exe
- <SYSTEM32>\reg.exe
Скрывает следующие процессы:
- <SYSTEM32>\reg.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\jGwMgkIU.bat
- <Текущая директория>\nAAK.exe
- C:\RCX18.tmp
- <Текущая директория>\xEAI.ico
- %TEMP%\EGcEAQEk.bat
- <Текущая директория>\zsgy.exe
- <Текущая директория>\wUQA.ico
- C:\RCX17.tmp
- <Текущая директория>\jIsg.ico
- %TEMP%\XwUEQUIA.bat
- <Текущая директория>\rEQm.exe
- %TEMP%\cAMUIccY.bat
- %TEMP%\gywswMok.bat
- %TEMP%\pccgUksE.bat
- %TEMP%\pigocsUg.bat
- %TEMP%\amskMccs.bat
- %TEMP%\YigUAUIs.bat
- %TEMP%\mIswQIYo.bat
- C:\RCX19.tmp
- %TEMP%\taMYAwYA.bat
- %TEMP%\tIooQwcw.bat
- %TEMP%\iqgUUcUw.bat
- <Текущая директория>\sQck.ico
- %TEMP%\KqQMgIcs.bat
- <Текущая директория>\VskQ.exe
- %TEMP%\GUwcwQYo.bat
- C:\RCX13.tmp
- C:\RCX12.tmp
- <Текущая директория>\YIcM.exe
- %TEMP%\ocscIAgs.bat
- %TEMP%\SQUAcoQs.bat
- %TEMP%\OEgAooYs.bat
- <Текущая директория>\XOEA.ico
- <Текущая директория>\DWUk.ico
- C:\RCX15.tmp
- <Текущая директория>\uMkK.exe
- C:\RCX16.tmp
- %TEMP%\TuAcYAwc.bat
- C:\RCX14.tmp
- <Текущая директория>\jwsW.exe
- %TEMP%\vwoYAYMU.bat
- <Текущая директория>\Twww.exe
- <Текущая директория>\eygs.ico
- %TEMP%\cYgQEkwI.bat
- <Текущая директория>\oocM.ico
- %TEMP%\hEAgQIMw.bat
- <Текущая директория>\wYUU.exe
- <Текущая директория>\LYME.ico
- C:\RCX1E.tmp
- <Текущая директория>\KYAS.exe
- <Текущая директория>\EGgA.ico
- %TEMP%\MYQYwMsc.bat
- %TEMP%\vKQoskwU.bat
- C:\RCX1D.tmp
- <Текущая директория>\VMsE.exe
- <Текущая директория>\nwko.exe
- <Текущая директория>\nwIQ.ico
- C:\RCX20.tmp
- %TEMP%\OsEAEowQ.bat
- %TEMP%\zmgIwEQc.bat
- %TEMP%\qEIUQUYE.bat
- C:\RCX1F.tmp
- %TEMP%\duQUAIEQ.bat
- %TEMP%\LqMgQYEw.bat
- %TEMP%\WWswIAEk.bat
- %TEMP%\TYIQIsww.bat
- %TEMP%\XKQQIwEM.bat
- %TEMP%\FucUgAAI.bat
- %TEMP%\JmEkgoYI.bat
- <Текущая директория>\AecQ.ico
- %TEMP%\dQQMQUEM.bat
- <Текущая директория>\UUcM.exe
- <Текущая директория>\kggI.ico
- C:\RCX1A.tmp
- %TEMP%\RgAcIcIc.bat
- %TEMP%\WaIEEEUk.bat
- <Текущая директория>\kgok.exe
- <Текущая директория>\JAIG.exe
- <Текущая директория>\tkcU.ico
- %TEMP%\jyQMIYoU.bat
- %TEMP%\OAEIAEUc.bat
- C:\RCX1C.tmp
- %TEMP%\imwwkgQo.bat
- C:\RCX1B.tmp
- %TEMP%\nqoEMoAw.bat
- %TEMP%\PwQEwEIs.bat
- %TEMP%\TOUkwEwI.bat
- <Текущая директория>\aUQA.ico
- C:\RCX3.tmp
- <Текущая директория>\ooQg.exe
- %TEMP%\IKkwEooA.bat
- C:\RCX4.tmp
- %TEMP%\TsIggwso.bat
- C:\RCX2.tmp
- %TEMP%\iCYskIQE.bat
- <Текущая директория>\hAAy.exe
- <Текущая директория>\kUQI.ico
- <Текущая директория>\KUoM.ico
- %TEMP%\pOUUggUA.bat
- C:\RCX6.tmp
- <Текущая директория>\lWEI.ico
- C:\RCX7.tmp
- <Текущая директория>\WoUu.exe
- %TEMP%\XEoMUUcs.bat
- <Текущая директория>\LkIy.exe
- C:\RCX5.tmp
- <Текущая директория>\wIUK.exe
- <Текущая директория>\LgEU.ico
- <Текущая директория>\mcsa.exe
- %TEMP%\IIYocogM.bat
- %TEMP%\kMkkEYMY.bat
- %TEMP%\file.vbs
- <Текущая директория>\iSUc.ico
- %TEMP%\DCMoUEko.bat
- %ALLUSERSPROFILE%\lwQggIEM\nwAEcgMA.exe
- %TEMP%\ikskYAEs.bat
- %TEMP%\JaEMwQQU.bat
- <Текущая директория>\<Имя вируса>
- %TEMP%\FAkQMQYg.bat
- %TEMP%\LsoIgUoM.bat
- %ALLUSERSPROFILE%\casg.txt
- <Текущая директория>\YicU.ico
- %TEMP%\ReMggwoA.bat
- %TEMP%\rsQoEcYk.bat
- C:\RCX1.tmp
- <Текущая директория>\IEsY.exe
- %TEMP%\VGskwwwY.bat
- %TEMP%\AMoskQkQ.bat
- %TEMP%\oOQkAAEI.bat
- %TEMP%\bEMogsAw.bat
- <Текущая директория>\VUUc.exe
- <Текущая директория>\pook.ico
- C:\RCXF.tmp
- %TEMP%\MmAEwIMs.bat
- %TEMP%\PYQcQMgY.bat
- <Текущая директория>\zgcO.exe
- <Текущая директория>\racA.ico
- C:\RCXE.tmp
- %TEMP%\IIwwQEYg.bat
- %TEMP%\dKYcEcoc.bat
- <Текущая директория>\JEcE.ico
- C:\RCX11.tmp
- <Текущая директория>\cUkm.exe
- %TEMP%\XqAcsYMc.bat
- <Текущая директория>\DgYs.ico
- %TEMP%\YAYsscIk.bat
- C:\RCX10.tmp
- <Текущая директория>\kIQk.exe
- %TEMP%\wIwQEEsk.bat
- <Текущая директория>\FqMM.ico
- %TEMP%\KEEkscMc.bat
- C:\RCXD.tmp
- %TEMP%\IMsMgoQM.bat
- C:\RCX9.tmp
- <Текущая директория>\NQQM.ico
- C:\RCXA.tmp
- <Текущая директория>\OIIS.exe
- <Текущая директория>\TsAU.exe
- <Текущая директория>\sAUU.ico
- C:\RCX8.tmp
- <Текущая директория>\KcIS.exe
- <Текущая директория>\HkYA.ico
- %TEMP%\pwgUogAQ.bat
- C:\RCXC.tmp
- %TEMP%\aOwsYIgI.bat
- <Текущая директория>\oAcc.ico
- %TEMP%\uiQsoEYE.bat
- <Текущая директория>\DYQG.exe
- <Текущая директория>\HoQS.exe
- <Текущая директория>\xwcw.ico
- C:\RCXB.tmp
- <Текущая директория>\FAAM.exe
- <Текущая директория>\qsUU.ico
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\lwQggIEM\nwAEcgMA.exe
- %ALLUSERSPROFILE%\BWogoUMg\aeEkEEcE.exe
- %HOMEPATH%\fCkYUMIQ\pUccUkoM.exe
Удаляет следующие файлы:
- %TEMP%\EGcEAQEk.bat
- <Текущая директория>\jIsg.ico
- %TEMP%\mIswQIYo.bat
- <Текущая директория>\wUQA.ico
- %TEMP%\XwUEQUIA.bat
- <Текущая директория>\nAAK.exe
- <Текущая директория>\xEAI.ico
- %TEMP%\amskMccs.bat
- %TEMP%\pigocsUg.bat
- %TEMP%\taMYAwYA.bat
- %TEMP%\cAMUIccY.bat
- <Текущая директория>\rEQm.exe
- <Текущая директория>\zsgy.exe
- <Текущая директория>\sQck.ico
- %TEMP%\GUwcwQYo.bat
- <Текущая директория>\jwsW.exe
- %TEMP%\SQUAcoQs.bat
- <Текущая директория>\DgYs.ico
- <Текущая директория>\VskQ.exe
- %TEMP%\TuAcYAwc.bat
- <Текущая директория>\uMkK.exe
- <Текущая директория>\DWUk.ico
- <Текущая директория>\XOEA.ico
- <Текущая директория>\Twww.exe
- <Текущая директория>\eygs.ico
- <Текущая директория>\EGgA.ico
- %TEMP%\hEAgQIMw.bat
- <Текущая директория>\wYUU.exe
- <Текущая директория>\tkcU.ico
- %TEMP%\MYQYwMsc.bat
- <Текущая директория>\KYAS.exe
- %TEMP%\qEIUQUYE.bat
- <Текущая директория>\LYME.ico
- %TEMP%\LqMgQYEw.bat
- <Текущая директория>\oocM.ico
- %TEMP%\vKQoskwU.bat
- <Текущая директория>\VMsE.exe
- <Текущая директория>\JAIG.exe
- <Текущая директория>\UUcM.exe
- <Текущая директория>\kggI.ico
- %TEMP%\dQQMQUEM.bat
- %TEMP%\WaIEEEUk.bat
- %TEMP%\XKQQIwEM.bat
- %TEMP%\JmEkgoYI.bat
- <Текущая директория>\AecQ.ico
- %TEMP%\PwQEwEIs.bat
- %TEMP%\OAEIAEUc.bat
- %TEMP%\RgAcIcIc.bat
- %TEMP%\nqoEMoAw.bat
- <Текущая директория>\kgok.exe
- <Текущая директория>\YIcM.exe
- <Текущая директория>\LkIy.exe
- <Текущая директория>\KUoM.ico
- <Текущая директория>\wIUK.exe
- %TEMP%\IKkwEooA.bat
- <Текущая директория>\ooQg.exe
- <Текущая директория>\aUQA.ico
- <Текущая директория>\lWEI.ico
- <Текущая директория>\TsAU.exe
- <Текущая директория>\sAUU.ico
- <Текущая директория>\LgEU.ico
- %TEMP%\pOUUggUA.bat
- <Текущая директория>\WoUu.exe
- <Текущая директория>\kUQI.ico
- %TEMP%\FAkQMQYg.bat
- %TEMP%\AMoskQkQ.bat
- <Текущая директория>\IEsY.exe
- %TEMP%\ikskYAEs.bat
- %TEMP%\kMkkEYMY.bat
- %TEMP%\DCMoUEko.bat
- <Текущая директория>\mcsa.exe
- <Текущая директория>\YicU.ico
- <Текущая директория>\hAAy.exe
- <Текущая директория>\iSUc.ico
- %TEMP%\rsQoEcYk.bat
- %TEMP%\TsIggwso.bat
- <Текущая директория>\VUUc.exe
- <Текущая директория>\pook.ico
- %TEMP%\wIwQEEsk.bat
- <Текущая директория>\zgcO.exe
- <Текущая директория>\racA.ico
- %TEMP%\PYQcQMgY.bat
- <Текущая директория>\cUkm.exe
- <Текущая директория>\FqMM.ico
- %TEMP%\ocscIAgs.bat
- <Текущая директория>\kIQk.exe
- <Текущая директория>\JEcE.ico
- %TEMP%\XqAcsYMc.bat
- %TEMP%\dKYcEcoc.bat
- <Текущая директория>\OIIS.exe
- <Текущая директория>\NQQM.ico
- <Текущая директория>\HoQS.exe
- <Текущая директория>\KcIS.exe
- <Текущая директория>\HkYA.ico
- %TEMP%\IMsMgoQM.bat
- <Текущая директория>\qsUU.ico
- <Текущая директория>\DYQG.exe
- <Текущая директория>\oAcc.ico
- <Текущая директория>\xwcw.ico
- %TEMP%\aOwsYIgI.bat
- <Текущая директория>\FAAM.exe
Перемещает следующие файлы:
- C:\RCX15.tmp в <Текущая директория>\Twww.exe
- C:\RCX16.tmp в <Текущая директория>\uMkK.exe
- C:\RCX17.tmp в <Текущая директория>\zsgy.exe
- C:\RCX14.tmp в <Текущая директория>\jwsW.exe
- C:\RCX11.tmp в <Текущая директория>\cUkm.exe
- C:\RCX12.tmp в <Текущая директория>\YIcM.exe
- C:\RCX13.tmp в <Текущая директория>\VskQ.exe
- C:\RCX18.tmp в <Текущая директория>\nAAK.exe
- C:\RCX1D.tmp в <Текущая директория>\KYAS.exe
- C:\RCX1E.tmp в <Текущая директория>\wYUU.exe
- C:\RCX1F.tmp в <Текущая директория>\VMsE.exe
- C:\RCX1C.tmp в <Текущая директория>\JAIG.exe
- C:\RCX19.tmp в <Текущая директория>\rEQm.exe
- C:\RCX1A.tmp в <Текущая директория>\UUcM.exe
- C:\RCX1B.tmp в <Текущая директория>\kgok.exe
- C:\RCX10.tmp в <Текущая директория>\kIQk.exe
- C:\RCX5.tmp в <Текущая директория>\LkIy.exe
- C:\RCX6.tmp в <Текущая директория>\wIUK.exe
- C:\RCX7.tmp в <Текущая директория>\WoUu.exe
- C:\RCX4.tmp в <Текущая директория>\ooQg.exe
- C:\RCX1.tmp в <Текущая директория>\IEsY.exe
- C:\RCX2.tmp в <Текущая директория>\mcsa.exe
- C:\RCX3.tmp в <Текущая директория>\hAAy.exe
- C:\RCX8.tmp в <Текущая директория>\TsAU.exe
- C:\RCXD.tmp в <Текущая директория>\DYQG.exe
- C:\RCXE.tmp в <Текущая директория>\zgcO.exe
- C:\RCXF.tmp в <Текущая директория>\VUUc.exe
- C:\RCXC.tmp в <Текущая директория>\FAAM.exe
- C:\RCX9.tmp в <Текущая директория>\KcIS.exe
- C:\RCXA.tmp в <Текущая директория>\OIIS.exe
- C:\RCXB.tmp в <Текущая директория>\HoQS.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '74.##5.232.51':80
- '19#.#86.45.170':9999
- '20#.#7.164.69':9999
- '20#.#19.204.12':9999
TCP:
Запросы HTTP GET:
- 74.##5.232.51/
UDP:
- DNS ASK google.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'aeEkEEcE.exe'
- ClassName: '' WindowName: 'pUccUkoM.exe'
- ClassName: 'Indicator' WindowName: ''
