Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:Tencent Download Program'
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\Tencent\QQPCMgr\TxdlCom.exe
- %TEMP%\TencentDownload\~249e0\qmdr\dr.dll
- %APPDATA%\Tencent\QQPCMgr\Download\version
- %APPDATA%\Tencent\QQPCMgr\TxdlProxy.exe
- %TEMP%\TencentDownload\~249e0\setup.xml
- %TEMP%\TencentDownload\~249e0\QQPCDownload.dll
- %TEMP%\~DF3505.tmp
Удаляет следующие файлы:
- %APPDATA%\Tencent\QQPCMgr\Download\version
Сетевая активность:
Подключается к:
- 'c.##.qq.com':80
- 'ma####.#tl.desktop.qq.com':443
- 'localhost':1038
TCP:
Запросы HTTP GET:
- c.##.qq.com/fcgi-bin/downurlquery?id###################################################################################################
UDP:
- DNS ASK c.##.qq.com
- DNS ASK ma####.#tl.desktop.qq.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'LogView_qqpcmgr' WindowName: ''
