Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemkfxin.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemuuayi.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqempkxzq.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemzjuaa.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemaoofu.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemuvegy.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemhhtmb.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemzwdud.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqempruor.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemnndvy.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemvcbgp.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemuueji.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemcccua.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemnoixn.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemxvwnd.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemilghl.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqematskw.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemudeju.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemlgyln.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemjqcqr.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqembrbrq.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemdjskn.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemdfjmr.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemtduxu.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemjclku.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemqzhbd.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqembubbc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemuwbif.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemrqwya.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemmgtzi.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemcllsr.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemygckq.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemrrbnp.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemeobto.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemhvruj.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemypjek.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemobqin.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemgbcly.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemeisck.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemgtvdb.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemlztsc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemrmpts.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemwnjwn.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemezvcc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemtjdba.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqempgvxu.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemmxxzr.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemtpxof.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemnjneb.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemwdlvl.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemexejl.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemhtzdh.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemuwlgf.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemesser.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemiffnf.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemvkybq.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemyyjpc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemgrsnw.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemfzxyc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemtnrlo.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemlpiua.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemqrcsq.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemguvzi.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemlujvc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemvinrj.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemllbcl.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemohekz.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemqhldu.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemtseys.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqembguwc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemvqyxf.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Sysqemzjuaa.exe'
- '%TEMP%\Sysqemkfxin.exe'
- '%TEMP%\Sysqempruor.exe'
- '%TEMP%\Sysqempkxzq.exe'
- '%TEMP%\Sysqemzwdud.exe'
- '%TEMP%\Sysqemaoofu.exe'
- '%TEMP%\Sysqemuuayi.exe'
- '%TEMP%\Sysqemhhtmb.exe'
- '%TEMP%\Sysqemxvwnd.exe'
- '%TEMP%\Sysqemcccua.exe'
- '%TEMP%\Sysqemnndvy.exe'
- '%TEMP%\Sysqemypjek.exe'
- '%TEMP%\Sysqemuueji.exe'
- '%TEMP%\Sysqematskw.exe'
- '%TEMP%\Sysqemnoixn.exe'
- '%TEMP%\Sysqemvcbgp.exe'
- '%TEMP%\Sysqemilghl.exe'
- '%TEMP%\Sysqemuvegy.exe'
- '%TEMP%\Sysqemdjskn.exe'
- '%TEMP%\Sysqemlgyln.exe'
- '%TEMP%\Sysqembubbc.exe'
- '%TEMP%\Sysqembrbrq.exe'
- '%TEMP%\Sysqemqzhbd.exe'
- '%TEMP%\Sysqemdfjmr.exe'
- '%TEMP%\Sysqemjqcqr.exe'
- '%TEMP%\Sysqemjclku.exe'
- '%TEMP%\Sysqemrrbnp.exe'
- '%TEMP%\Sysqemcllsr.exe'
- '%TEMP%\Sysqemuwbif.exe'
- '%TEMP%\Sysqemudeju.exe'
- '%TEMP%\Sysqemmgtzi.exe'
- '%TEMP%\Sysqemhvruj.exe'
- '%TEMP%\Sysqemygckq.exe'
- '%TEMP%\Sysqemrqwya.exe'
- '%TEMP%\Sysqemeobto.exe'
- '%TEMP%\Sysqemobqin.exe'
- '%TEMP%\Sysqemgbcly.exe'
- '%TEMP%\Sysqemeisck.exe'
- '%TEMP%\Sysqemgtvdb.exe'
- '%TEMP%\Sysqemlztsc.exe'
- '%TEMP%\Sysqemrmpts.exe'
- '%TEMP%\Sysqemwnjwn.exe'
- '%TEMP%\Sysqemezvcc.exe'
- '%TEMP%\Sysqemtjdba.exe'
- '%TEMP%\Sysqempgvxu.exe'
- '%TEMP%\Sysqemmxxzr.exe'
- '%TEMP%\Sysqemtpxof.exe'
- '%TEMP%\Sysqemnjneb.exe'
- '%TEMP%\Sysqemwdlvl.exe'
- '%TEMP%\Sysqemexejl.exe'
- '%TEMP%\Sysqemhtzdh.exe'
- '%TEMP%\Sysqemuwlgf.exe'
- '%TEMP%\Sysqemesser.exe'
- '%TEMP%\Sysqemiffnf.exe'
- '%TEMP%\Sysqemvkybq.exe'
- '%TEMP%\Sysqemyyjpc.exe'
- '%TEMP%\Sysqemgrsnw.exe'
- '%TEMP%\Sysqemfzxyc.exe'
- '%TEMP%\Sysqemtnrlo.exe'
- '%TEMP%\Sysqemlpiua.exe'
- '%TEMP%\Sysqemqrcsq.exe'
- '%TEMP%\Sysqemguvzi.exe'
- '%TEMP%\Sysqemlujvc.exe'
- '%TEMP%\Sysqemvinrj.exe'
- '%TEMP%\Sysqemllbcl.exe'
- '%TEMP%\Sysqemohekz.exe'
- '%TEMP%\Sysqemqhldu.exe'
- '%TEMP%\Sysqemtseys.exe'
- '%TEMP%\Sysqembguwc.exe'
- '%TEMP%\Sysqemvqyxf.exe'
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Sysqemzjuaa.exe
- %TEMP%\Sysqemkfxin.exe
- %TEMP%\Sysqempruor.exe
- %TEMP%\Sysqempkxzq.exe
- %TEMP%\Sysqemuuayi.exe
- %TEMP%\Sysqemaoofu.exe
- %TEMP%\Sysqemuvegy.exe
- %TEMP%\Sysqemhhtmb.exe
- %TEMP%\Sysqemzwdud.exe
- %TEMP%\Sysqemcccua.exe
- %TEMP%\Sysqemnndvy.exe
- %TEMP%\Sysqemypjek.exe
- %TEMP%\Sysqemuueji.exe
- %TEMP%\Sysqemvcbgp.exe
- %TEMP%\Sysqemnoixn.exe
- %TEMP%\Sysqemxvwnd.exe
- %TEMP%\Sysqemilghl.exe
- %TEMP%\Sysqematskw.exe
- %TEMP%\Sysqemdjskn.exe
- %TEMP%\Sysqemlgyln.exe
- %TEMP%\Sysqembubbc.exe
- %TEMP%\Sysqembrbrq.exe
- %TEMP%\Sysqemjqcqr.exe
- %TEMP%\Sysqemdfjmr.exe
- %TEMP%\Sysqemtduxu.exe
- %TEMP%\Sysqemjclku.exe
- %TEMP%\Sysqemqzhbd.exe
- %TEMP%\Sysqemcllsr.exe
- %TEMP%\Sysqemuwbif.exe
- %TEMP%\Sysqemudeju.exe
- %TEMP%\Sysqemmgtzi.exe
- %TEMP%\Sysqemrqwya.exe
- %TEMP%\Sysqemygckq.exe
- %TEMP%\Sysqemrrbnp.exe
- %TEMP%\Sysqemeobto.exe
- %TEMP%\Sysqemhvruj.exe
- %TEMP%\Sysqemtnrlo.exe
- %TEMP%\Sysqemeisck.exe
- %TEMP%\Sysqemgtvdb.exe
- %TEMP%\Sysqemexejl.exe
- %TEMP%\Sysqemtjdba.exe
- %TEMP%\Sysqemobqin.exe
- %TEMP%\Sysqemezvcc.exe
- %TEMP%\Sysqemlztsc.exe
- %TEMP%\Sysqemgbcly.exe
- %TEMP%\Sysqemwnjwn.exe
- %TEMP%\Sysqemtpxof.exe
- %TEMP%\Sysqemnjneb.exe
- %TEMP%\qpath.ini
- %TEMP%\Sysqamqqvaqqd.exe
- %TEMP%\Sysqempgvxu.exe
- %TEMP%\Sysqemuwlgf.exe
- %TEMP%\Sysqemwdlvl.exe
- %TEMP%\Sysqemmxxzr.exe
- %TEMP%\Sysqemhtzdh.exe
- %TEMP%\Sysqemyyjpc.exe
- %TEMP%\Sysqemgrsnw.exe
- %TEMP%\Sysqemtseys.exe
- %TEMP%\Sysqemguvzi.exe
- %TEMP%\Sysqemiffnf.exe
- %TEMP%\Sysqemqrcsq.exe
- %TEMP%\Sysqemfzxyc.exe
- %TEMP%\Sysqemvkybq.exe
- %TEMP%\Sysqemlpiua.exe
- %TEMP%\Sysqemllbcl.exe
- %TEMP%\Sysqemohekz.exe
- %TEMP%\Sysqemrmpts.exe
- %TEMP%\Sysqemesser.exe
- %TEMP%\Sysqemlujvc.exe
- %TEMP%\Sysqemvqyxf.exe
- %TEMP%\Sysqemqhldu.exe
- %TEMP%\Sysqemvinrj.exe
- %TEMP%\Sysqembguwc.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\Sysqemzjuaa.exe
- %TEMP%\Sysqemkfxin.exe
- %TEMP%\Sysqempruor.exe
- %TEMP%\Sysqempkxzq.exe
- %TEMP%\Sysqemuuayi.exe
- %TEMP%\Sysqemaoofu.exe
- %TEMP%\Sysqemuvegy.exe
- %TEMP%\Sysqemhhtmb.exe
- %TEMP%\Sysqemzwdud.exe
- %TEMP%\Sysqemcccua.exe
- %TEMP%\Sysqemnndvy.exe
- %TEMP%\Sysqemypjek.exe
- %TEMP%\Sysqemuueji.exe
- %TEMP%\Sysqemvcbgp.exe
- %TEMP%\Sysqemnoixn.exe
- %TEMP%\Sysqemxvwnd.exe
- %TEMP%\Sysqemilghl.exe
- %TEMP%\Sysqematskw.exe
- %TEMP%\Sysqemdjskn.exe
- %TEMP%\Sysqemlgyln.exe
- %TEMP%\Sysqembubbc.exe
- %TEMP%\Sysqembrbrq.exe
- %TEMP%\Sysqemjqcqr.exe
- %TEMP%\Sysqemdfjmr.exe
- %TEMP%\Sysqemtduxu.exe
- %TEMP%\Sysqemjclku.exe
- %TEMP%\Sysqemqzhbd.exe
- %TEMP%\Sysqemcllsr.exe
- %TEMP%\Sysqemuwbif.exe
- %TEMP%\Sysqemudeju.exe
- %TEMP%\Sysqemmgtzi.exe
- %TEMP%\Sysqemrqwya.exe
- %TEMP%\Sysqemygckq.exe
- %TEMP%\Sysqemrrbnp.exe
- %TEMP%\Sysqemeobto.exe
- %TEMP%\Sysqemhvruj.exe
- %TEMP%\Sysqemgtvdb.exe
- %TEMP%\Sysqemobqin.exe
- %TEMP%\Sysqemtjdba.exe
- %TEMP%\Sysqemeisck.exe
- %TEMP%\Sysqemgbcly.exe
- %TEMP%\Sysqemlztsc.exe
- %TEMP%\Sysqemrmpts.exe
- %TEMP%\Sysqemwnjwn.exe
- %TEMP%\Sysqemezvcc.exe
- %TEMP%\Sysqemnjneb.exe
- %TEMP%\Sysqempgvxu.exe
- %TEMP%\Sysqemtpxof.exe
- %TEMP%\Sysqamqqvaqqd.exe
- %TEMP%\Sysqemmxxzr.exe
- %TEMP%\Sysqemwdlvl.exe
- %TEMP%\Sysqemexejl.exe
- %TEMP%\Sysqemhtzdh.exe
- %TEMP%\Sysqemuwlgf.exe
- %TEMP%\Sysqemgrsnw.exe
- %TEMP%\Sysqemiffnf.exe
- %TEMP%\Sysqemguvzi.exe
- %TEMP%\Sysqemyyjpc.exe
- %TEMP%\Sysqemvkybq.exe
- %TEMP%\Sysqemfzxyc.exe
- %TEMP%\Sysqemtnrlo.exe
- %TEMP%\Sysqemlpiua.exe
- %TEMP%\Sysqemqrcsq.exe
- %TEMP%\Sysqemohekz.exe
- %TEMP%\Sysqemlujvc.exe
- %TEMP%\Sysqemesser.exe
- %TEMP%\Sysqemllbcl.exe
- %TEMP%\Sysqemvinrj.exe
- %TEMP%\Sysqemqhldu.exe
- %TEMP%\Sysqemtseys.exe
- %TEMP%\Sysqembguwc.exe
- %TEMP%\Sysqemvqyxf.exe
