Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemtuqmi.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemqybtk.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemgvzsm.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemlnysw.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemvecgk.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemnhpqb.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqembtguw.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqembvnkf.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemwttgl.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemowxxj.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemqeemv.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemtrxvl.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemlynsf.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemlvhsz.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemptiig.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemadnzp.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemxllqa.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemxnmpc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemxurox.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemxbfte.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemsuesm.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemfcukj.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemfgguh.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemqinjd.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemiysxf.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemanior.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemijuyp.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemmimpn.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemglzpn.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemqrenc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemgyxbv.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemnpuda.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemqfvvs.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemymxrw.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemwgwfs.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemhnfjc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemukejh.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemeeimw.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemofdbc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemeiqee.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemruekp.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemkcapd.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemrqmfp.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemectje.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemwjstk.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemhkfbu.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemhgrls.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemjihac.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemjwryy.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemubyac.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemhciuk.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqempmeug.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemrsbil.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemhdafv.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemxempf.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Sysqemqybtk.exe'
- '%TEMP%\Sysqemgvzsm.exe'
- '%TEMP%\Sysqembtguw.exe'
- '%TEMP%\Sysqemvecgk.exe'
- '%TEMP%\Sysqemnhpqb.exe'
- '%TEMP%\Sysqemtuqmi.exe'
- '%TEMP%\Sysqemqeemv.exe'
- '%TEMP%\Sysqemwttgl.exe'
- '%TEMP%\Sysqemowxxj.exe'
- '%TEMP%\Sysqemmimpn.exe'
- '%TEMP%\Sysqemtrxvl.exe'
- '%TEMP%\Sysqemlynsf.exe'
- '%TEMP%\Sysqembvnkf.exe'
- '%TEMP%\Sysqemlnysw.exe'
- '%TEMP%\Sysqemadnzp.exe'
- '%TEMP%\Sysqemxllqa.exe'
- '%TEMP%\Sysqemsuesm.exe'
- '%TEMP%\Sysqemxurox.exe'
- '%TEMP%\Sysqemxbfte.exe'
- '%TEMP%\Sysqemptiig.exe'
- '%TEMP%\Sysqemiysxf.exe'
- '%TEMP%\Sysqemfgguh.exe'
- '%TEMP%\Sysqemqinjd.exe'
- '%TEMP%\Sysqemlvhsz.exe'
- '%TEMP%\Sysqemanior.exe'
- '%TEMP%\Sysqemijuyp.exe'
- '%TEMP%\Sysqemfcukj.exe'
- '%TEMP%\Sysqemglzpn.exe'
- '%TEMP%\Sysqemqrenc.exe'
- '%TEMP%\Sysqemgyxbv.exe'
- '%TEMP%\Sysqemnpuda.exe'
- '%TEMP%\Sysqemqfvvs.exe'
- '%TEMP%\Sysqemymxrw.exe'
- '%TEMP%\Sysqemwgwfs.exe'
- '%TEMP%\Sysqemhnfjc.exe'
- '%TEMP%\Sysqemukejh.exe'
- '%TEMP%\Sysqemeeimw.exe'
- '%TEMP%\Sysqemofdbc.exe'
- '%TEMP%\Sysqemeiqee.exe'
- '%TEMP%\Sysqemruekp.exe'
- '%TEMP%\Sysqemkcapd.exe'
- '%TEMP%\Sysqemrqmfp.exe'
- '%TEMP%\Sysqemectje.exe'
- '%TEMP%\Sysqemwjstk.exe'
- '%TEMP%\Sysqemhkfbu.exe'
- '%TEMP%\Sysqemhgrls.exe'
- '%TEMP%\Sysqemjihac.exe'
- '%TEMP%\Sysqemjwryy.exe'
- '%TEMP%\Sysqemubyac.exe'
- '%TEMP%\Sysqemhciuk.exe'
- '%TEMP%\Sysqempmeug.exe'
- '%TEMP%\Sysqemrsbil.exe'
- '%TEMP%\Sysqemhdafv.exe'
- '%TEMP%\Sysqemxempf.exe'
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Sysqemqybtk.exe
- %TEMP%\Sysqemgvzsm.exe
- %TEMP%\Sysqembtguw.exe
- %TEMP%\Sysqemtuqmi.exe
- %TEMP%\Sysqemlnysw.exe
- %TEMP%\Sysqemvecgk.exe
- %TEMP%\Sysqemnhpqb.exe
- %TEMP%\Sysqemwttgl.exe
- %TEMP%\Sysqemowxxj.exe
- %TEMP%\Sysqemmimpn.exe
- %TEMP%\Sysqembvnkf.exe
- %TEMP%\Sysqemqeemv.exe
- %TEMP%\Sysqemtrxvl.exe
- %TEMP%\Sysqemlynsf.exe
- %TEMP%\Sysqemadnzp.exe
- %TEMP%\Sysqemxllqa.exe
- %TEMP%\Sysqemsuesm.exe
- %TEMP%\Sysqemptiig.exe
- %TEMP%\Sysqemxnmpc.exe
- %TEMP%\Sysqemxurox.exe
- %TEMP%\Sysqemxbfte.exe
- %TEMP%\Sysqemfgguh.exe
- %TEMP%\Sysqemqinjd.exe
- %TEMP%\Sysqemlvhsz.exe
- %TEMP%\Sysqemfcukj.exe
- %TEMP%\Sysqemiysxf.exe
- %TEMP%\Sysqemanior.exe
- %TEMP%\Sysqemijuyp.exe
- %TEMP%\Sysqemhkfbu.exe
- %TEMP%\Sysqemgyxbv.exe
- %TEMP%\Sysqemwgwfs.exe
- %TEMP%\Sysqemofdbc.exe
- %TEMP%\Sysqemqrenc.exe
- %TEMP%\Sysqemqfvvs.exe
- %TEMP%\Sysqemymxrw.exe
- %TEMP%\Sysqemglzpn.exe
- %TEMP%\Sysqemeeimw.exe
- %TEMP%\Sysqamqqvaqqd.exe
- %TEMP%\qpath.ini
- %TEMP%\Sysqemukejh.exe
- %TEMP%\Sysqemeiqee.exe
- %TEMP%\Sysqemruekp.exe
- %TEMP%\Sysqemhnfjc.exe
- %TEMP%\Sysqemwjstk.exe
- %TEMP%\Sysqemjwryy.exe
- %TEMP%\Sysqemrsbil.exe
- %TEMP%\Sysqemectje.exe
- %TEMP%\Sysqemhgrls.exe
- %TEMP%\Sysqemjihac.exe
- %TEMP%\Sysqemrqmfp.exe
- %TEMP%\Sysqempmeug.exe
- %TEMP%\Sysqemkcapd.exe
- %TEMP%\Sysqemnpuda.exe
- %TEMP%\Sysqemhciuk.exe
- %TEMP%\Sysqemhdafv.exe
- %TEMP%\Sysqemxempf.exe
- %TEMP%\Sysqemubyac.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\Sysqemqybtk.exe
- %TEMP%\Sysqemgvzsm.exe
- %TEMP%\Sysqembtguw.exe
- %TEMP%\Sysqemtuqmi.exe
- %TEMP%\Sysqemlnysw.exe
- %TEMP%\Sysqemvecgk.exe
- %TEMP%\Sysqemnhpqb.exe
- %TEMP%\Sysqemwttgl.exe
- %TEMP%\Sysqemowxxj.exe
- %TEMP%\Sysqemmimpn.exe
- %TEMP%\Sysqembvnkf.exe
- %TEMP%\Sysqemqeemv.exe
- %TEMP%\Sysqemtrxvl.exe
- %TEMP%\Sysqemlynsf.exe
- %TEMP%\Sysqemadnzp.exe
- %TEMP%\Sysqemxllqa.exe
- %TEMP%\Sysqemsuesm.exe
- %TEMP%\Sysqemptiig.exe
- %TEMP%\Sysqemxnmpc.exe
- %TEMP%\Sysqemxurox.exe
- %TEMP%\Sysqemxbfte.exe
- %TEMP%\Sysqemfgguh.exe
- %TEMP%\Sysqemqinjd.exe
- %TEMP%\Sysqemlvhsz.exe
- %TEMP%\Sysqemfcukj.exe
- %TEMP%\Sysqemiysxf.exe
- %TEMP%\Sysqemanior.exe
- %TEMP%\Sysqemijuyp.exe
- %TEMP%\Sysqemqrenc.exe
- %TEMP%\Sysqemgyxbv.exe
- %TEMP%\Sysqemwgwfs.exe
- %TEMP%\Sysqemglzpn.exe
- %TEMP%\Sysqemnpuda.exe
- %TEMP%\Sysqemqfvvs.exe
- %TEMP%\Sysqemymxrw.exe
- %TEMP%\Sysqemukejh.exe
- %TEMP%\Sysqamqqvaqqd.exe
- %TEMP%\Sysqemeeimw.exe
- %TEMP%\Sysqemhnfjc.exe
- %TEMP%\Sysqemofdbc.exe
- %TEMP%\Sysqemeiqee.exe
- %TEMP%\Sysqemruekp.exe
- %TEMP%\Sysqemectje.exe
- %TEMP%\Sysqemwjstk.exe
- %TEMP%\Sysqemjwryy.exe
- %TEMP%\Sysqemrqmfp.exe
- %TEMP%\Sysqemhkfbu.exe
- %TEMP%\Sysqemhgrls.exe
- %TEMP%\Sysqemjihac.exe
- %TEMP%\Sysqemhciuk.exe
- %TEMP%\Sysqempmeug.exe
- %TEMP%\Sysqemkcapd.exe
- %TEMP%\Sysqemubyac.exe
- %TEMP%\Sysqemrsbil.exe
- %TEMP%\Sysqemhdafv.exe
- %TEMP%\Sysqemxempf.exe
