Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'AcIcUcAM.exe' = '%ALLUSERSPROFILE%\vesswIQA\AcIcUcAM.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'jaQEcQMQ.exe' = '%HOMEPATH%\NIMMEwsg\jaQEcQMQ.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\FkYQcQph] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\lwQggIEM\nwAEcgMA.exe'
- '%ALLUSERSPROFILE%\vesswIQA\AcIcUcAM.exe'
- '%HOMEPATH%\NIMMEwsg\jaQEcQMQ.exe'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' /pid=3556
- '<SYSTEM32>\reg.exe' /pid=3984
- '<SYSTEM32>\cscript.exe' /pid=3848
- '<SYSTEM32>\cscript.exe' /c ""%TEMP%\HkMsowUc.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /pid=132
- '<SYSTEM32>\cscript.exe' /pid=2512
- '<SYSTEM32>\reg.exe' /pid=3672
- '<SYSTEM32>\cscript.exe' /pid=3832
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\GQwMkwsQ.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /pid=3660
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\AEIAgMkY.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' /pid=296
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\BSkgMgUo.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\NAcQYwIg.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\bCcUMkEA.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\wswYQQMs.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\NMUAYcgc.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\EwMsIgYo.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\laUQocMU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\oGoEIIos.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\KUUUkwkY.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /pid=2836
- '<SYSTEM32>\reg.exe' /pid=1660
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\HAYcIAoY.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\sawssYAM.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\AQQAosUE.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\JGMcgIYU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\zMwgIQss.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\TMIIwsEU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\guwgkAAk.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\JMwEUAEM.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\CiIgAAMU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\mUMQQwEU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\LIoMwcYg.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\OYEMUEMo.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\VYscIAwA.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\akUUckks.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\cKUYAEog.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' %TEMP%\file.vbs
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\LeYswkMU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\MwYUUcUE.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\aigAAwMw.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /pid=3224
- '<SYSTEM32>\reg.exe' %TEMP%\file.vbs
- '<SYSTEM32>\cscript.exe' /pid=3608
- '<SYSTEM32>\cscript.exe' /pid=2792
- '<SYSTEM32>\cscript.exe' /pid=3000
- '<SYSTEM32>\reg.exe' /pid=2440
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\qIoYIMIU.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\SsUsYUwg.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe'
- '<SYSTEM32>\cscript.exe' /pid=2600
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\pkUgAgko.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /pid=1684
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\reg.exe
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\UIwy.exe
- C:\RCX11.tmp
- %TEMP%\pkUgAgko.bat
- <Текущая директория>\eAQE.ico
- C:\RCX10.tmp
- %TEMP%\qIoYIMIU.bat
- %TEMP%\ccsUosco.bat
- %TEMP%\BQMkMYUY.bat
- %TEMP%\CMYEgYUY.bat
- %TEMP%\GQwMkwsQ.bat
- %TEMP%\AEIAgMkY.bat
- %TEMP%\EaEIMAAU.bat
- %TEMP%\NsYoccYs.bat
- %TEMP%\aigAAwMw.bat
- %TEMP%\MwYUUcUE.bat
- <Текущая директория>\nEUs.exe
- <Текущая директория>\qqwI.ico
- <Текущая директория>\rEcy.exe
- C:\RCXE.tmp
- %TEMP%\BMgMsMcE.bat
- <Текущая директория>\qwEi.exe
- %TEMP%\mUMQQwEU.bat
- C:\RCXD.tmp
- %TEMP%\LeYswkMU.bat
- %TEMP%\DyssAUwc.bat
- <Текущая директория>\SOwk.ico
- %TEMP%\SsUsYUwg.bat
- C:\RCXF.tmp
- %TEMP%\puAsUoUQ.bat
- <Текущая директория>\IUIs.ico
- <Текущая директория>\CYYG.exe
- %TEMP%\wikIAoIk.bat
- %TEMP%\bCcUMkEA.bat
- %TEMP%\sAsgcwcU.bat
- %TEMP%\wswYQQMs.bat
- %TEMP%\BQsMcQcU.bat
- %TEMP%\NMUAYcgc.bat
- %TEMP%\PsAYEAkc.bat
- %TEMP%\EwMsIgYo.bat
- %TEMP%\wUEggkYE.bat
- %TEMP%\laUQocMU.bat
- %TEMP%\hoYckkwQ.bat
- %TEMP%\oGoEIIos.bat
- %TEMP%\bYIwwUUg.bat
- %TEMP%\KUUUkwkY.bat
- %TEMP%\HmgEooUA.bat
- %TEMP%\AQQAosUE.bat
- %TEMP%\twowkwoo.bat
- %TEMP%\NAcQYwIg.bat
- %TEMP%\PMYIEwko.bat
- %TEMP%\HkMsowUc.bat
- %TEMP%\ZSgEYowM.bat
- %TEMP%\BSkgMgUo.bat
- %TEMP%\buMsIUoc.bat
- %TEMP%\HAYcIAoY.bat
- %TEMP%\iqIcIIMc.bat
- %TEMP%\JGMcgIYU.bat
- %TEMP%\VukcsAYc.bat
- %TEMP%\zMwgIQss.bat
- %TEMP%\ZCcIMYMA.bat
- %TEMP%\sawssYAM.bat
- %TEMP%\EkUscEgA.bat
- <Текущая директория>\hgYq.exe
- C:\RCX4.tmp
- %TEMP%\RUUAUEow.bat
- <Текущая директория>\dgsY.ico
- <Текущая директория>\SyEg.ico
- <Текущая директория>\YUwG.exe
- C:\RCX3.tmp
- <Текущая директория>\rIkQ.ico
- <Текущая директория>\OYIY.ico
- <Текущая директория>\xQok.exe
- C:\RCX6.tmp
- %TEMP%\NMgoYkIw.bat
- <Текущая директория>\YIAG.exe
- C:\RCX5.tmp
- %TEMP%\akUUckks.bat
- %TEMP%\cKUYAEog.bat
- %ALLUSERSPROFILE%\casg.txt
- %TEMP%\syQsUEgo.bat
- %TEMP%\VYscIAwA.bat
- <Текущая директория>\<Имя вируса>
- %ALLUSERSPROFILE%\lwQggIEM\nwAEcgMA.exe
- %TEMP%\XeAgAEEs.bat
- <Текущая директория>\XsEA.ico
- %TEMP%\bwcMIMoo.bat
- <Текущая директория>\JMMy.exe
- C:\RCX2.tmp
- <Текущая директория>\UmUY.ico
- <Текущая директория>\bYEm.exe
- %TEMP%\file.vbs
- C:\RCX1.tmp
- <Текущая директория>\BcIU.ico
- <Текущая директория>\jcUk.exe
- C:\RCXB.tmp
- %TEMP%\TKsYwAUs.bat
- <Текущая директория>\xAIk.exe
- C:\RCXA.tmp
- %TEMP%\CiIgAAMU.bat
- <Текущая директория>\ryQs.ico
- %TEMP%\LIoMwcYg.bat
- %TEMP%\sIoEEcQA.bat
- <Текущая директория>\GosM.ico
- C:\RCXC.tmp
- %TEMP%\XaAkMUMU.bat
- <Текущая директория>\IQUO.exe
- %TEMP%\OYEMUEMo.bat
- <Текущая директория>\uesI.ico
- %TEMP%\mcYUgAUE.bat
- <Текущая директория>\cMMA.ico
- <Текущая директория>\dYkI.exe
- C:\RCX7.tmp
- <Текущая директория>\OaQw.ico
- %TEMP%\JMwEUAEM.bat
- <Текущая директория>\GQIw.exe
- C:\RCX8.tmp
- <Текущая директория>\cAcY.exe
- C:\RCX9.tmp
- %TEMP%\CcggAkcY.bat
- <Текущая директория>\gGoE.ico
- %TEMP%\GYwwIUAw.bat
- %TEMP%\TMIIwsEU.bat
- %TEMP%\guwgkAAk.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\lwQggIEM\nwAEcgMA.exe
- %ALLUSERSPROFILE%\vesswIQA\AcIcUcAM.exe
- %HOMEPATH%\NIMMEwsg\jaQEcQMQ.exe
Удаляет следующие файлы:
- %TEMP%\BQMkMYUY.bat
- %TEMP%\NsYoccYs.bat
- <Текущая директория>\SOwk.ico
- %TEMP%\ccsUosco.bat
- %TEMP%\EaEIMAAU.bat
- %TEMP%\AEIAgMkY.bat
- %TEMP%\buMsIUoc.bat
- %TEMP%\CMYEgYUY.bat
- %TEMP%\ZSgEYowM.bat
- <Текущая директория>\rEcy.exe
- <Текущая директория>\qqwI.ico
- <Текущая директория>\qwEi.exe
- <Текущая директория>\GosM.ico
- %TEMP%\puAsUoUQ.bat
- %TEMP%\DyssAUwc.bat
- <Текущая директория>\nEUs.exe
- <Текущая директория>\CYYG.exe
- <Текущая директория>\IUIs.ico
- %TEMP%\PsAYEAkc.bat
- %TEMP%\wikIAoIk.bat
- %TEMP%\VukcsAYc.bat
- %TEMP%\BQsMcQcU.bat
- %TEMP%\sAsgcwcU.bat
- %TEMP%\wUEggkYE.bat
- %TEMP%\hoYckkwQ.bat
- %TEMP%\bYIwwUUg.bat
- %TEMP%\HmgEooUA.bat
- %TEMP%\twowkwoo.bat
- %TEMP%\HkMsowUc.bat
- %TEMP%\GQwMkwsQ.bat
- %TEMP%\BSkgMgUo.bat
- %TEMP%\PMYIEwko.bat
- %TEMP%\EkUscEgA.bat
- %TEMP%\iqIcIIMc.bat
- %TEMP%\ZCcIMYMA.bat
- %TEMP%\NAcQYwIg.bat
- <Текущая директория>\dgsY.ico
- <Текущая директория>\YIAG.exe
- %TEMP%\RUUAUEow.bat
- <Текущая директория>\hgYq.exe
- <Текущая директория>\rIkQ.ico
- <Текущая директория>\OYIY.ico
- <Текущая директория>\GQIw.exe
- %TEMP%\NMgoYkIw.bat
- <Текущая директория>\xQok.exe
- <Текущая директория>\bYEm.exe
- <Текущая директория>\XsEA.ico
- %TEMP%\XeAgAEEs.bat
- %TEMP%\syQsUEgo.bat
- %TEMP%\bwcMIMoo.bat
- <Текущая директория>\YUwG.exe
- <Текущая директория>\SyEg.ico
- <Текущая директория>\JMMy.exe
- <Текущая директория>\UmUY.ico
- <Текущая директория>\jcUk.exe
- <Текущая директория>\BcIU.ico
- <Текущая директория>\uesI.ico
- %TEMP%\TKsYwAUs.bat
- %TEMP%\XaAkMUMU.bat
- %TEMP%\sIoEEcQA.bat
- %TEMP%\BMgMsMcE.bat
- <Текущая директория>\IQUO.exe
- <Текущая директория>\ryQs.ico
- %TEMP%\GYwwIUAw.bat
- <Текущая директория>\dYkI.exe
- <Текущая директория>\OaQw.ico
- %TEMP%\mcYUgAUE.bat
- <Текущая директория>\cMMA.ico
- %TEMP%\CcggAkcY.bat
- <Текущая директория>\xAIk.exe
- <Текущая директория>\cAcY.exe
- <Текущая директория>\gGoE.ico
Перемещает следующие файлы:
- C:\RCXB.tmp в <Текущая директория>\jcUk.exe
- C:\RCXC.tmp в <Текущая директория>\IQUO.exe
- C:\RCX9.tmp в <Текущая директория>\cAcY.exe
- C:\RCXA.tmp в <Текущая директория>\xAIk.exe
- C:\RCXF.tmp в <Текущая директория>\CYYG.exe
- C:\RCX10.tmp в <Текущая директория>\nEUs.exe
- C:\RCXD.tmp в <Текущая директория>\qwEi.exe
- C:\RCXE.tmp в <Текущая директория>\rEcy.exe
- C:\RCX3.tmp в <Текущая директория>\YUwG.exe
- C:\RCX4.tmp в <Текущая директория>\hgYq.exe
- C:\RCX1.tmp в <Текущая директория>\bYEm.exe
- C:\RCX2.tmp в <Текущая директория>\JMMy.exe
- C:\RCX7.tmp в <Текущая директория>\GQIw.exe
- C:\RCX8.tmp в <Текущая директория>\dYkI.exe
- C:\RCX5.tmp в <Текущая директория>\YIAG.exe
- C:\RCX6.tmp в <Текущая директория>\xQok.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '74.##5.232.51':80
TCP:
Запросы HTTP GET:
- 74.##5.232.51/
UDP:
- DNS ASK google.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Microsoft Windows'
- ClassName: '' WindowName: 'jaQEcQMQ.exe'
- ClassName: 'Indicator' WindowName: ''
- ClassName: '' WindowName: 'AcIcUcAM.exe'
