Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemksteh.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemkvvqi.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemslucb.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemkesbf.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqempuoad.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemcyqcl.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemfkejq.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemasqqb.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemkxsvl.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemszabc.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemvijqd.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemrqkwu.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemlbegs.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqembmsar.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemugdis.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemwzwkr.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemjakby.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqempoqux.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemhtzmd.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemeeyop.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemmdskl.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqempggot.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemuwbif.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemrofkn.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemmmnrr.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemunvsi.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemkzoui.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemejgae.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemxodyt.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemvgmdw.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemvhgfi.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemkegpz.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemxhtsx.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemfovtt.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemejtff.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemdsrrg.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemtsdvi.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemgktzv.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemyocbz.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemowcvj.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemlkvnl.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqembtxrj.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemrpxvq.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemyklwq.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqembdgjw.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Sysqemjoxnc.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Sysqemksteh.exe'
- '%TEMP%\Sysqemkvvqi.exe'
- '%TEMP%\Sysqemslucb.exe'
- '%TEMP%\Sysqemkesbf.exe'
- '%TEMP%\Sysqempuoad.exe'
- '%TEMP%\Sysqemcyqcl.exe'
- '%TEMP%\Sysqemfkejq.exe'
- '%TEMP%\Sysqemasqqb.exe'
- '%TEMP%\Sysqemkxsvl.exe'
- '%TEMP%\Sysqemszabc.exe'
- '%TEMP%\Sysqemvijqd.exe'
- '%TEMP%\Sysqembmsar.exe'
- '%TEMP%\Sysqempoqux.exe'
- '%TEMP%\Sysqemlbegs.exe'
- '%TEMP%\Sysqemjakby.exe'
- '%TEMP%\Sysqemugdis.exe'
- '%TEMP%\Sysqempggot.exe'
- '%TEMP%\Sysqemeeyop.exe'
- '%TEMP%\Sysqemrqkwu.exe'
- '%TEMP%\Sysqemhtzmd.exe'
- '%TEMP%\Sysqemuwbif.exe'
- '%TEMP%\Sysqemmdskl.exe'
- '%TEMP%\Sysqemyocbz.exe'
- '%TEMP%\Sysqemrofkn.exe'
- '%TEMP%\Sysqemmmnrr.exe'
- '%TEMP%\Sysqemunvsi.exe'
- '%TEMP%\Sysqemkzoui.exe'
- '%TEMP%\Sysqemejgae.exe'
- '%TEMP%\Sysqemxodyt.exe'
- '%TEMP%\Sysqemvgmdw.exe'
- '%TEMP%\Sysqemvhgfi.exe'
- '%TEMP%\Sysqemkegpz.exe'
- '%TEMP%\Sysqemxhtsx.exe'
- '%TEMP%\Sysqemfovtt.exe'
- '%TEMP%\Sysqemtsdvi.exe'
- '%TEMP%\Sysqemlkvnl.exe'
- '%TEMP%\Sysqemdsrrg.exe'
- '%TEMP%\Sysqemowcvj.exe'
- '%TEMP%\Sysqemgktzv.exe'
- '%TEMP%\Sysqembdgjw.exe'
- '%TEMP%\Sysqemrpxvq.exe'
- '%TEMP%\Sysqemejtff.exe'
- '%TEMP%\Sysqembtxrj.exe'
- '%TEMP%\Sysqemjoxnc.exe'
- '%TEMP%\Sysqemyklwq.exe'
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Sysqemksteh.exe
- %TEMP%\Sysqemkvvqi.exe
- %TEMP%\Sysqemcyqcl.exe
- %TEMP%\Sysqemkesbf.exe
- %TEMP%\Sysqempuoad.exe
- %TEMP%\Sysqemslucb.exe
- %TEMP%\Sysqemfkejq.exe
- %TEMP%\Sysqemasqqb.exe
- %TEMP%\Sysqemyocbz.exe
- %TEMP%\Sysqemszabc.exe
- %TEMP%\Sysqemvijqd.exe
- %TEMP%\Sysqemkxsvl.exe
- %TEMP%\Sysqemlbegs.exe
- %TEMP%\Sysqembmsar.exe
- %TEMP%\Sysqempoqux.exe
- %TEMP%\Sysqemwzwkr.exe
- %TEMP%\Sysqemjakby.exe
- %TEMP%\Sysqemugdis.exe
- %TEMP%\Sysqemhtzmd.exe
- %TEMP%\Sysqemeeyop.exe
- %TEMP%\Sysqemrqkwu.exe
- %TEMP%\Sysqempggot.exe
- %TEMP%\Sysqemuwbif.exe
- %TEMP%\Sysqemmdskl.exe
- %TEMP%\Sysqemmmnrr.exe
- %TEMP%\Sysqemxodyt.exe
- %TEMP%\Sysqemxhtsx.exe
- %TEMP%\Sysqemejgae.exe
- %TEMP%\Sysqemunvsi.exe
- %TEMP%\Sysqemrofkn.exe
- %TEMP%\Sysqemvhgfi.exe
- %TEMP%\Sysqamqqvaqqd.exe
- %TEMP%\qpath.ini
- %TEMP%\Sysqemfovtt.exe
- %TEMP%\Sysqemkegpz.exe
- %TEMP%\Sysqemvgmdw.exe
- %TEMP%\Sysqemtsdvi.exe
- %TEMP%\Sysqemlkvnl.exe
- %TEMP%\Sysqembdgjw.exe
- %TEMP%\Sysqemowcvj.exe
- %TEMP%\Sysqemgktzv.exe
- %TEMP%\Sysqemdsrrg.exe
- %TEMP%\Sysqemrpxvq.exe
- %TEMP%\Sysqemejtff.exe
- %TEMP%\Sysqemkzoui.exe
- %TEMP%\Sysqemjoxnc.exe
- %TEMP%\Sysqemyklwq.exe
- %TEMP%\Sysqembtxrj.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\Sysqemksteh.exe
- %TEMP%\Sysqemkvvqi.exe
- %TEMP%\Sysqemslucb.exe
- %TEMP%\Sysqemkesbf.exe
- %TEMP%\Sysqempuoad.exe
- %TEMP%\Sysqemcyqcl.exe
- %TEMP%\Sysqemfkejq.exe
- %TEMP%\Sysqemasqqb.exe
- %TEMP%\Sysqemkxsvl.exe
- %TEMP%\Sysqemszabc.exe
- %TEMP%\Sysqemvijqd.exe
- %TEMP%\Sysqemrqkwu.exe
- %TEMP%\Sysqemlbegs.exe
- %TEMP%\Sysqembmsar.exe
- %TEMP%\Sysqemugdis.exe
- %TEMP%\Sysqemwzwkr.exe
- %TEMP%\Sysqemjakby.exe
- %TEMP%\Sysqempoqux.exe
- %TEMP%\Sysqemhtzmd.exe
- %TEMP%\Sysqemeeyop.exe
- %TEMP%\Sysqemmdskl.exe
- %TEMP%\Sysqempggot.exe
- %TEMP%\Sysqemuwbif.exe
- %TEMP%\Sysqemyocbz.exe
- %TEMP%\Sysqemmmnrr.exe
- %TEMP%\Sysqemxodyt.exe
- %TEMP%\Sysqemrofkn.exe
- %TEMP%\Sysqemejgae.exe
- %TEMP%\Sysqemunvsi.exe
- %TEMP%\Sysqemxhtsx.exe
- %TEMP%\Sysqamqqvaqqd.exe
- %TEMP%\Sysqemvhgfi.exe
- %TEMP%\Sysqemvgmdw.exe
- %TEMP%\Sysqemfovtt.exe
- %TEMP%\Sysqemkegpz.exe
- %TEMP%\Sysqemkzoui.exe
- %TEMP%\Sysqemtsdvi.exe
- %TEMP%\Sysqemlkvnl.exe
- %TEMP%\Sysqemdsrrg.exe
- %TEMP%\Sysqemowcvj.exe
- %TEMP%\Sysqemgktzv.exe
- %TEMP%\Sysqembdgjw.exe
- %TEMP%\Sysqemrpxvq.exe
- %TEMP%\Sysqemejtff.exe
- %TEMP%\Sysqembtxrj.exe
- %TEMP%\Sysqemjoxnc.exe
- %TEMP%\Sysqemyklwq.exe
