Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,C:\ProgramData\sIAowgok\rSYkcwMw.exe,'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'rSYkcwMw.exe' = 'C:\ProgramData\sIAowgok\rSYkcwMw.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'GocwIYEU.exe' = '%HOMEPATH%\CaIocokM\GocwIYEU.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\yoYkgMRX] 'Start' = '00000002'
Заражает следующие исполняемые файлы:
- C:\ProgramData\Package Cache\{6c95b50e-cb5a-4a1f-a7b4-8a6004f8dd6a}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{f0080ca2-80ae-4958-b6eb-e8fa916d744a}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{615bc16d-60f5-482e-91b3-b51d8130963b}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{01db25f3-1b76-4d97-88c8-1c90634d88fb}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{2af972c7-13b0-4978-92a8-fee26a4fb4e9}\vcredist_x86.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- 'C:\ProgramData\ZQIIosos\XiskIEYE.exe'
- 'C:\ProgramData\sIAowgok\rSYkcwMw.exe'
- '%HOMEPATH%\CaIocokM\GocwIYEU.exe'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' 0x82c cscript.exe
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\xOMcUcEo.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' /pid=0x56c /log
- '<SYSTEM32>\conhost.exe'
- '<SYSTEM32>\reg.exe' /pid=0x238 /log
- '<SYSTEM32>\reg.exe' 0x238 <Имя вируса>.exe
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\IEUgIoYk.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\conhost.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\qSkgEsMY.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /pid=0x56c /log
- '<SYSTEM32>\reg.exe' /pid=0xb08 /log
- '<SYSTEM32>\reg.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\cscript.exe' /pid=0x954 /log
- '<SYSTEM32>\conhost.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\cscript.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\reg.exe'
- '<SYSTEM32>\reg.exe' /pid=0xa7c /log
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
- '<SYSTEM32>\reg.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\reg.exe' 0x4dc cscript.exe
- '<SYSTEM32>\conhost.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\reg.exe' /pid=0x7f4 /log
- '<SYSTEM32>\reg.exe' 0xa5c cscript.exe
- '<SYSTEM32>\conhost.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- '<SYSTEM32>\conhost.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
Изменения в файловой системе:
Создает следующие файлы:
- C:\RCXAFC3.tmp
- <Текущая директория>\LQAA.ico
- <Текущая директория>\hIYe.exe
- C:\RCXADB0.tmp
- <Текущая директория>\EsEE.ico
- <Текущая директория>\EIku.exe
- C:\RCXB264.tmp
- <Текущая директория>\vEIQ.ico
- <Текущая директория>\jAcu.exe
- C:\RCXB12B.tmp
- <Текущая директория>\niEc.ico
- <Текущая директория>\NgQo.exe
- <Текущая директория>\AoEM.exe
- <Текущая директория>\bcYO.exe
- C:\RCXA757.tmp
- <Текущая директория>\UYgo.ico
- C:\RCXA524.tmp
- <Текущая директория>\zyww.ico
- %TEMP%\xOMcUcEo.bat
- <Текущая директория>\yooq.exe
- C:\RCXAB5E.tmp
- <Текущая директория>\geIA.ico
- <Текущая директория>\ooci.exe
- C:\RCXA9C8.tmp
- <Текущая директория>\gWMM.ico
- C:\RCXB38E.tmp
- <Текущая директория>\VUUO.exe
- C:\RCXBC1C.tmp
- %TEMP%\CesocIoE.bat
- <Текущая директория>\IUgg.exe
- C:\RCXBA85.tmp
- <Текущая директория>\XOsw.ico
- %TEMP%\IEUgIoYk.bat
- <Текущая директория>\ccwI.ico
- <Текущая директория>\cwYI.exe
- <Текущая директория>\lEMs.ico
- <Текущая директория>\BocK.exe
- C:\RCXBE4E.tmp
- <Текущая директория>\vyQA.ico
- <Текущая директория>\OOMk.ico
- <Текущая директория>\AMIU.exe
- C:\RCXB757.tmp
- <Текущая директория>\koAs.ico
- <Текущая директория>\UAEe.exe
- C:\RCXB563.tmp
- <Текущая директория>\tSUo.ico
- <Текущая директория>\pgoe.exe
- C:\RCXB9AA.tmp
- <Текущая директория>\qkoc.ico
- <Текущая директория>\vIAQ.exe
- C:\RCXB8CE.tmp
- <Текущая директория>\jYse.exe
- <Текущая директория>\fiYY.ico
- <Текущая директория>\boYA.exe
- C:\RCX91C8.tmp
- <Текущая директория>\HicE.ico
- <Текущая директория>\QsUY.exe
- C:\RCX90BD.tmp
- <Текущая директория>\tgAc.ico
- <Текущая директория>\eskY.exe
- C:\RCX93EC.tmp
- <Текущая директория>\uIsA.ico
- <Текущая директория>\Fogq.exe
- C:\RCX92F1.tmp
- C:\RCX8EE8.tmp
- <Текущая директория>\DsEy.exe
- C:\RCX896A.tmp
- %TEMP%\ikgskQsI.bat
- <Текущая директория>\lEwo.exe
- C:\RCX86BB.tmp
- <Текущая директория>\hCkc.ico
- %TEMP%\yykowkog.bat
- <Текущая директория>\hAUk.ico
- <Текущая директория>\uEkE.exe
- <Текущая директория>\bSkE.ico
- <Текущая директория>\dUUi.exe
- C:\RCX8C87.tmp
- <Текущая директория>\uEgI.ico
- C:\RCX9F95.tmp
- <Текущая директория>\NqEk.ico
- <Текущая директория>\PQkI.exe
- C:\RCX9D82.tmp
- <Текущая директория>\vswg.ico
- <Текущая директория>\MMEg.exe
- C:\RCXA38D.tmp
- %TEMP%\AgkocowI.bat
- <Текущая директория>\IQYs.ico
- C:\RCXA1A9.tmp
- <Текущая директория>\OGwY.ico
- <Текущая директория>\QMIc.exe
- <Текущая директория>\BgEM.exe
- <Текущая директория>\QscQ.exe
- C:\RCX995A.tmp
- <Текущая директория>\YQMo.ico
- <Текущая директория>\NsIe.exe
- C:\RCX9544.tmp
- <Текущая директория>\boIs.ico
- <Текущая директория>\MwEy.exe
- C:\RCX9C59.tmp
- <Текущая директория>\DIcg.ico
- <Текущая директория>\kAsY.exe
- C:\RCX9B00.tmp
- <Текущая директория>\bCMM.ico
- C:\RCXC1C8.tmp
- C:\RCXE9A9.tmp
- <Текущая директория>\HMgo.ico
- <Текущая директория>\ZsYO.exe
- <Текущая директория>\Uwsk.ico
- <Текущая директория>\xQsS.exe
- %TEMP%\sgcAsUgc.bat
- C:\RCXECC7.tmp
- %TEMP%\qSkgEsMY.bat
- <Текущая директория>\ZCgY.ico
- C:\RCXEA65.tmp
- <Текущая директория>\MiQY.ico
- <Текущая директория>\AwUw.exe
- C:\RCXE8AF.tmp
- C:\RCXE496.tmp
- <Текущая директория>\WwEs.ico
- <Текущая директория>\sIQG.exe
- C:\RCXE300.tmp
- <Текущая директория>\tyEQ.ico
- <Текущая директория>\rMIG.exe
- C:\RCXE776.tmp
- <Текущая директория>\vmAY.ico
- <Текущая директория>\hoYM.exe
- C:\RCXE591.tmp
- <Текущая директория>\LSQk.ico
- <Текущая директория>\UUwg.exe
- <Текущая директория>\tEgE.exe
- <Текущая директория>\TWwE.ico
- <Текущая директория>\MYcw.exe
- C:\RCXF6CC.tmp
- <Текущая директория>\HAwQ.ico
- <Текущая директория>\EoUk.exe
- C:\RCXF516.tmp
- <Текущая директория>\zmYA.ico
- <Текущая директория>\NQYu.exe
- C:\RCXF98C.tmp
- <Текущая директория>\mQYI.ico
- <Текущая директория>\WQgo.exe
- C:\RCXF834.tmp
- C:\RCXF3ED.tmp
- C:\RCXEF87.tmp
- <Текущая директория>\zAsA.ico
- <Текущая директория>\Uccu.exe
- C:\RCXEE00.tmp
- <Текущая директория>\FAAs.ico
- <Текущая директория>\XMIq.exe
- C:\RCXF1CA.tmp
- <Текущая директория>\cOII.ico
- <Текущая директория>\wQoK.exe
- C:\RCXF0C0.tmp
- <Текущая директория>\OUEI.ico
- <Текущая директория>\YAYy.exe
- <Текущая директория>\LUUM.exe
- <Текущая директория>\LcYI.exe
- C:\RCXCC4A.tmp
- <Текущая директория>\WMsg.ico
- <Текущая директория>\loca.exe
- C:\RCXC9E8.tmp
- <Текущая директория>\ssEA.ico
- <Текущая директория>\VAMw.exe
- C:\RCXD003.tmp
- %TEMP%\pmkQsUYA.bat
- <Текущая директория>\aMoC.exe
- C:\RCXCD63.tmp
- <Текущая директория>\bkgo.ico
- <Текущая директория>\QysE.ico
- <Текущая директория>\Vwss.ico
- <Текущая директория>\IcoK.exe
- C:\RCXC505.tmp
- <Текущая директория>\bKoY.ico
- <Текущая директория>\sogq.exe
- C:\RCXC311.tmp
- <Текущая директория>\Tqso.ico
- <Текущая директория>\FwYM.exe
- C:\RCXC7F4.tmp
- <Текущая директория>\lukk.ico
- <Текущая директория>\KMUW.exe
- C:\RCXC61F.tmp
- <Текущая директория>\iIUg.ico
- <Текущая директория>\YYkA.exe
- C:\RCXDD81.tmp
- <Текущая директория>\Xkkk.ico
- <Текущая директория>\xAMI.exe
- C:\RCXDC29.tmp
- <Текущая директория>\qmkU.ico
- <Текущая директория>\XwcO.exe
- C:\RCXE0FC.tmp
- <Текущая директория>\pQsE.ico
- <Текущая директория>\kUMW.exe
- C:\RCXDF08.tmp
- <Текущая директория>\isMo.ico
- <Текущая директория>\ByYU.ico
- <Текущая директория>\YSwk.ico
- <Текущая директория>\vUww.exe
- C:\RCXD717.tmp
- <Текущая директория>\UEcG.exe
- C:\RCXD40A.tmp
- %TEMP%\IYwQsIkk.bat
- <Текущая директория>\OakI.ico
- <Текущая директория>\WgUG.exe
- C:\RCXDAF0.tmp
- <Текущая директория>\LyUk.ico
- <Текущая директория>\GEcs.exe
- C:\RCXD978.tmp
- <Текущая директория>\FkAi.exe
- C:\RCX2EA0.tmp
- <Текущая директория>\vUQM.ico
- <Текущая директория>\yoEg.exe
- C:\RCX2CBC.tmp
- <Текущая директория>\Bwow.ico
- <Текущая директория>\ZUwq.exe
- C:\RCX318F.tmp
- <Текущая директория>\YOYA.ico
- <Текущая директория>\iQsu.exe
- C:\RCX3037.tmp
- <Текущая директория>\gwwE.ico
- %TEMP%\TSAQYIwg.bat
- C:\RCX24DC.tmp
- <Текущая директория>\YqQs.ico
- <Текущая директория>\FwAI.exe
- C:\RCX2384.tmp
- <Текущая директория>\Okso.ico
- <Текущая директория>\IMYU.exe
- <Текущая директория>\pQIQ.exe
- C:\RCX2B92.tmp
- <Текущая директория>\EsYQ.ico
- C:\RCX272E.tmp
- <Текущая директория>\fsgk.ico
- %TEMP%\xawosYcI.bat
- <Текущая директория>\RckQ.exe
- C:\RCX3D58.tmp
- <Текущая директория>\JQUk.ico
- <Текущая директория>\dgwy.exe
- C:\RCX3C4E.tmp
- <Текущая директория>\uKkI.ico
- <Текущая директория>\WEYc.exe
- C:\RCX42A7.tmp
- <Текущая директория>\cqoo.ico
- <Текущая директория>\sMsy.exe
- C:\RCX3E14.tmp
- <Текущая директория>\UMIo.ico
- <Текущая директория>\WIUG.exe
- <Текущая директория>\mcMU.exe
- C:\RCX375B.tmp
- <Служебный элемент>
- <Текущая директория>\uqIM.ico
- C:\RCX3548.tmp
- <Текущая директория>\Pwkk.ico
- <Текущая директория>\OQQS.exe
- <Текущая директория>\DkIE.exe
- C:\RCX3B34.tmp
- <Текущая директория>\jgwA.ico
- <Текущая директория>\YMss.exe
- C:\RCX38C3.tmp
- <Текущая директория>\nQoI.ico
- <Текущая директория>\RgIu.exe
- <Текущая директория>\PEAU.exe
- C:\RCXE15.tmp
- <Текущая директория>\cCUw.ico
- <Текущая директория>\AIQu.exe
- C:\RCXC40.tmp
- <Текущая директория>\BeYg.ico
- <Текущая директория>\cUkI.exe
- C:\RCX10E5.tmp
- <Текущая директория>\hkck.ico
- <Текущая директория>\Gwgy.exe
- C:\RCXFCB.tmp
- <Текущая директория>\jEws.ico
- <Текущая директория>\HSEs.ico
- <SYSTEM32>\config\systemprofile\CaIocokM\GocwIYEU
- %TEMP%\RuokAgUU.bat
- <Текущая директория>\<Имя вируса>
- %HOMEPATH%\CaIocokM\GocwIYEU
- C:\ProgramData\sIAowgok\rSYkcwMw
- C:\ProgramData\ZQIIosos\XiskIEYE.exe
- <Текущая директория>\gKAE.ico
- <Текущая директория>\kIgo.exe
- C:\RCXA4C.tmp
- %TEMP%\ZEsEkgcU.bat
- C:\ProgramData\kaog.txt
- %TEMP%\file.vbs
- <Текущая директория>\tAAI.exe
- <Текущая директория>\aIks.exe
- C:\RCX1DA7.tmp
- <Текущая директория>\Ccww.ico
- <Текущая директория>\IkEe.exe
- C:\RCX1BF2.tmp
- <Текущая директория>\LKcA.ico
- <Текущая директория>\zIsY.exe
- C:\RCX21FD.tmp
- <Текущая директория>\HKEo.ico
- <Текущая директория>\zMMa.exe
- C:\RCX2057.tmp
- <Текущая директория>\sSME.ico
- <Текущая директория>\ZocQ.ico
- <Текущая директория>\aEwm.exe
- C:\RCX15E6.tmp
- %TEMP%\BKAoMQAE.bat
- C:\RCX144F.tmp
- <Текущая директория>\EKUU.ico
- %TEMP%\JMcwscsA.bat
- <Текущая директория>\sWkA.ico
- <Текущая директория>\RcUm.exe
- C:\RCX1A99.tmp
- <Текущая директория>\kyEY.ico
- <Текущая директория>\JgQc.exe
- C:\RCX18D4.tmp
- C:\RCX440F.tmp
- <Текущая директория>\zMgk.ico
- <Текущая директория>\sowI.exe
- C:\RCX76E8.tmp
- <Текущая директория>\iyUE.ico
- <Текущая директория>\oAEa.exe
- C:\RCX7457.tmp
- C:\RCX789D.tmp
- <Текущая директория>\CUks.ico
- <Текущая директория>\JgsO.exe
- %TEMP%\pwAMUoww.bat
- <Текущая директория>\qyQk.ico
- <Текущая директория>\NYIc.exe
- %TEMP%\qSowgsYE.bat
- <Текущая директория>\xOkk.ico
- <Текущая директория>\dUEw.exe
- C:\RCX6DA0.tmp
- <Текущая директория>\MUYI.ico
- <Текущая директория>\zMMI.exe
- C:\RCX6C29.tmp
- <Текущая директория>\sMMs.ico
- <Текущая директория>\HYYG.exe
- C:\RCX72FF.tmp
- <Текущая директория>\TEUc.ico
- <Текущая директория>\VscE.exe
- C:\RCX71A7.tmp
- C:\RCX79A8.tmp
- <Текущая директория>\gcMk.exe
- C:\RCX8293.tmp
- <Текущая директория>\agcY.ico
- <Текущая директория>\EIUQ.exe
- C:\RCX81B8.tmp
- <Текущая директория>\wyMU.ico
- <Текущая директория>\zUgQ.exe
- C:\RCX8582.tmp
- <Текущая директория>\gOoA.ico
- <Текущая директория>\GcYU.exe
- C:\RCX8439.tmp
- <Текущая директория>\aioA.ico
- <Текущая директория>\aysY.ico
- <Текущая директория>\NuYE.ico
- <Текущая директория>\hgsG.exe
- C:\RCX7BCC.tmp
- <Текущая директория>\fMwg.ico
- <Текущая директория>\TIYa.exe
- C:\RCX7AE1.tmp
- <Текущая директория>\wqgU.ico
- <Текущая директория>\QUIC.exe
- C:\RCX7FA4.tmp
- <Текущая директория>\SkEo.ico
- <Текущая директория>\rQYC.exe
- C:\RCX7CC6.tmp
- C:\RCX6A35.tmp
- C:\RCX4E9F.tmp
- <Текущая директория>\dWsM.ico
- <Текущая директория>\wckq.exe
- C:\RCX4C6C.tmp
- <Текущая директория>\UYUc.ico
- <Текущая директория>\woUQ.exe
- C:\RCX547A.tmp
- <Текущая директория>\vqcU.ico
- <Текущая директория>\fIAa.exe
- C:\RCX5276.tmp
- <Текущая директория>\noUo.ico
- <Текущая директория>\cMUO.exe
- <Текущая директория>\aAws.exe
- C:\RCX45F3.tmp
- <Текущая директория>\KGQg.ico
- <Текущая директория>\ygsc.exe
- %TEMP%\LYgowAMo.bat
- <Текущая директория>\Jwog.ico
- <Текущая директория>\gQQC.exe
- <Текущая директория>\roAM.exe
- C:\RCX4BDF.tmp
- <Текущая директория>\UQcs.ico
- C:\RCX48A3.tmp
- %TEMP%\saMkQQUc.bat
- <Текущая директория>\HEkU.ico
- C:\RCX55D2.tmp
- C:\RCX614C.tmp
- <Текущая директория>\bEAA.ico
- <Текущая директория>\IUEU.exe
- %TEMP%\zYUYwIoc.bat
- <Текущая директория>\DIsk.ico
- <Текущая директория>\KYgW.exe
- C:\RCX67C4.tmp
- <Текущая директория>\MuAE.ico
- <Текущая директория>\bgsA.exe
- C:\RCX665C.tmp
- <Текущая директория>\KcEM.ico
- <Текущая директория>\EMMi.exe
- C:\RCX5F29.tmp
- <Текущая директория>\KYMs.ico
- <Текущая директория>\jkAu.exe
- C:\RCX57A8.tmp
- <Текущая директория>\cMAs.ico
- <Текущая директория>\KcIe.exe
- C:\RCX570B.tmp
- C:\RCX5C99.tmp
- <Текущая директория>\zGQY.ico
- <Текущая директория>\oosk.exe
- <Текущая директория>\RgMA.ico
- %TEMP%\quscUUIY.bat
- <Текущая директория>\pMsQ.exe
Удаляет следующие файлы:
- <Текущая директория>\hIYe.exe
- <Текущая директория>\niEc.ico
- <Текущая директория>\EIku.exe
- <Текущая директория>\LQAA.ico
- <Текущая директория>\jAcu.exe
- <Текущая директория>\koAs.ico
- <Текущая директория>\NgQo.exe
- <Текущая директория>\vEIQ.ico
- <Текущая директория>\ooci.exe
- <Текущая директория>\gWMM.ico
- <Текущая директория>\bcYO.exe
- <Текущая директория>\UYgo.ico
- <Текущая директория>\AoEM.exe
- <Текущая директория>\EsEE.ico
- <Текущая директория>\yooq.exe
- <Текущая директория>\geIA.ico
- <Текущая директория>\UAEe.exe
- <Текущая директория>\VUUO.exe
- %TEMP%\CesocIoE.bat
- <Текущая директория>\IUgg.exe
- <Текущая директория>\XOsw.ico
- <Текущая директория>\ccwI.ico
- <Текущая директория>\cwYI.exe
- <Текущая директория>\lEMs.ico
- <Текущая директория>\BocK.exe
- %TEMP%\xOMcUcEo.bat
- <Текущая директория>\qkoc.ico
- <Текущая директория>\OOMk.ico
- <Текущая директория>\AMIU.exe
- <Текущая директория>\pgoe.exe
- <Текущая директория>\vyQA.ico
- <Текущая директория>\vIAQ.exe
- <Текущая директория>\tSUo.ico
- <Текущая директория>\zyww.ico
- <Текущая директория>\Fogq.exe
- <Текущая директория>\tgAc.ico
- <Текущая директория>\boYA.exe
- <Текущая директория>\uIsA.ico
- <Текущая директория>\NsIe.exe
- <Текущая директория>\boIs.ico
- <Текущая директория>\eskY.exe
- <Текущая директория>\uEgI.ico
- <Текущая директория>\dUUi.exe
- <Текущая директория>\hAUk.ico
- %TEMP%\ikgskQsI.bat
- <Текущая директория>\bSkE.ico
- <Текущая директория>\QsUY.exe
- <Текущая директория>\fiYY.ico
- <Текущая директория>\uEkE.exe
- <Текущая директория>\HicE.ico
- <Текущая директория>\QscQ.exe
- %TEMP%\yykowkog.bat
- <Текущая директория>\OGwY.ico
- <Текущая директория>\NqEk.ico
- <Текущая директория>\PQkI.exe
- <Текущая директория>\IQYs.ico
- <Текущая директория>\jYse.exe
- <Текущая директория>\QMIc.exe
- %TEMP%\AgkocowI.bat
- <Текущая директория>\bCMM.ico
- <Текущая директория>\MwEy.exe
- <Текущая директория>\YQMo.ico
- <Текущая директория>\kAsY.exe
- <Текущая директория>\vswg.ico
- <Текущая директория>\MMEg.exe
- <Текущая директория>\DIcg.ico
- <Текущая директория>\BgEM.exe
- <Текущая директория>\Uwsk.ico
- <Текущая директория>\xQsS.exe
- <Текущая директория>\vmAY.ico
- <Текущая директория>\hoYM.exe
- <Текущая директория>\ZsYO.exe
- <Текущая директория>\MiQY.ico
- %TEMP%\sgcAsUgc.bat
- <Текущая директория>\HMgo.ico
- <Текущая директория>\tyEQ.ico
- <Текущая директория>\rMIG.exe
- <Текущая директория>\pQsE.ico
- <Текущая директория>\LUUM.exe
- <Текущая директория>\LSQk.ico
- <Текущая директория>\UUwg.exe
- <Текущая директория>\WwEs.ico
- <Текущая директория>\sIQG.exe
- <Текущая директория>\AwUw.exe
- <Текущая директория>\HAwQ.ico
- <Текущая директория>\EoUk.exe
- <Текущая директория>\cOII.ico
- <Текущая директория>\wQoK.exe
- <Текущая директория>\mQYI.ico
- <Текущая директория>\WQgo.exe
- <Текущая директория>\TWwE.ico
- <Текущая директория>\MYcw.exe
- <Текущая директория>\FAAs.ico
- <Текущая директория>\XMIq.exe
- <Текущая директория>\ZCgY.ico
- <Текущая директория>\tEgE.exe
- <Текущая директория>\OUEI.ico
- <Текущая директория>\YAYy.exe
- <Текущая директория>\zAsA.ico
- <Текущая директория>\Uccu.exe
- <Текущая директория>\XwcO.exe
- <Текущая директория>\ssEA.ico
- <Текущая директория>\LcYI.exe
- <Текущая директория>\QysE.ico
- <Текущая директория>\loca.exe
- <Текущая директория>\bkgo.ico
- <Текущая директория>\VAMw.exe
- <Текущая директория>\WMsg.ico
- <Текущая директория>\aMoC.exe
- <Текущая директория>\Vwss.ico
- <Текущая директория>\IcoK.exe
- <Текущая директория>\bKoY.ico
- <Текущая директория>\sogq.exe
- <Текущая директория>\Tqso.ico
- <Текущая директория>\FwYM.exe
- <Текущая директория>\lukk.ico
- <Текущая директория>\KMUW.exe
- %TEMP%\pmkQsUYA.bat
- %TEMP%\IEUgIoYk.bat
- <Текущая директория>\qmkU.ico
- <Текущая директория>\ByYU.ico
- <Текущая директория>\xAMI.exe
- <Текущая директория>\kUMW.exe
- <Текущая директория>\isMo.ico
- <Текущая директория>\YYkA.exe
- <Текущая директория>\Xkkk.ico
- <Текущая директория>\YSwk.ico
- <Текущая директория>\vUww.exe
- <Текущая директория>\iIUg.ico
- <Текущая директория>\UEcG.exe
- <Текущая директория>\OakI.ico
- <Текущая директория>\WgUG.exe
- <Текущая директория>\LyUk.ico
- <Текущая директория>\GEcs.exe
- <Текущая директория>\ZUwq.exe
- <Текущая директория>\YOYA.ico
- <Текущая директория>\iQsu.exe
- <Текущая директория>\gwwE.ico
- <Текущая директория>\OQQS.exe
- <Текущая директория>\uqIM.ico
- <Текущая директория>\RckQ.exe
- <Текущая директория>\Pwkk.ico
- %TEMP%\xawosYcI.bat
- <Текущая директория>\EsYQ.ico
- <Текущая директория>\fsgk.ico
- <Текущая директория>\pQIQ.exe
- <Текущая директория>\FkAi.exe
- <Текущая директория>\vUQM.ico
- <Текущая директория>\yoEg.exe
- <Текущая директория>\Bwow.ico
- <Текущая директория>\YMss.exe
- <Текущая директория>\cqoo.ico
- <Текущая директория>\sMsy.exe
- <Текущая директория>\UMIo.ico
- <Текущая директория>\WIUG.exe
- <Текущая директория>\gQQC.exe
- <Текущая директория>\KGQg.ico
- %TEMP%\LYgowAMo.bat
- <Текущая директория>\Jwog.ico
- <Текущая директория>\jgwA.ico
- <Текущая директория>\mcMU.exe
- <Текущая директория>\nQoI.ico
- <Текущая директория>\DkIE.exe
- <Текущая директория>\JQUk.ico
- <Текущая директория>\dgwy.exe
- <Текущая директория>\uKkI.ico
- <Текущая директория>\WEYc.exe
- <Текущая директория>\FwAI.exe
- <Текущая директория>\cUkI.exe
- <Текущая директория>\hkck.ico
- <Текущая директория>\Gwgy.exe
- <Текущая директория>\jEws.ico
- <Текущая директория>\EKUU.ico
- <Текущая директория>\aEwm.exe
- <Текущая директория>\tAAI.exe
- %TEMP%\JMcwscsA.bat
- <Текущая директория>\kIgo.exe
- <Текущая директория>\HSEs.ico
- %TEMP%\RuokAgUU.bat
- <Текущая директория>\gKAE.ico
- <Текущая директория>\PEAU.exe
- <Текущая директория>\cCUw.ico
- <Текущая директория>\AIQu.exe
- <Текущая директория>\BeYg.ico
- <Текущая директория>\kyEY.ico
- <Текущая директория>\zIsY.exe
- <Текущая директория>\HKEo.ico
- <Текущая директория>\zMMa.exe
- <Текущая директория>\sSME.ico
- <Текущая директория>\IMYU.exe
- <Текущая директория>\YqQs.ico
- <Текущая директория>\RgIu.exe
- <Текущая директория>\Okso.ico
- <Текущая директория>\RcUm.exe
- <Текущая директория>\ZocQ.ico
- <Текущая директория>\JgQc.exe
- <Текущая директория>\sWkA.ico
- <Текущая директория>\aIks.exe
- <Текущая директория>\Ccww.ico
- <Текущая директория>\IkEe.exe
- <Текущая директория>\LKcA.ico
- <Текущая директория>\NYIc.exe
- <Текущая директория>\CUks.ico
- <Текущая директория>\sowI.exe
- <Текущая директория>\qyQk.ico
- <Текущая директория>\TIYa.exe
- <Текущая директория>\NuYE.ico
- <Текущая директория>\JgsO.exe
- <Текущая директория>\fMwg.ico
- <Текущая директория>\sMMs.ico
- <Текущая директория>\HYYG.exe
- <Текущая директория>\TEUc.ico
- <Текущая директория>\VscE.exe
- <Текущая директория>\oAEa.exe
- <Текущая директория>\zMgk.ico
- %TEMP%\qSowgsYE.bat
- <Текущая директория>\iyUE.ico
- <Текущая директория>\hgsG.exe
- <Текущая директория>\aioA.ico
- <Текущая директория>\zUgQ.exe
- <Текущая директория>\agcY.ico
- <Текущая директория>\GcYU.exe
- <Текущая директория>\hCkc.ico
- <Текущая директория>\DsEy.exe
- <Текущая директория>\gOoA.ico
- <Текущая директория>\lEwo.exe
- <Текущая директория>\wqgU.ico
- <Текущая директория>\QUIC.exe
- <Текущая директория>\SkEo.ico
- <Текущая директория>\rQYC.exe
- <Текущая директория>\wyMU.ico
- <Текущая директория>\gcMk.exe
- <Текущая директория>\aysY.ico
- <Текущая директория>\EIUQ.exe
- <Текущая директория>\dUEw.exe
- <Текущая директория>\cMUO.exe
- <Текущая директория>\vqcU.ico
- <Текущая директория>\wckq.exe
- <Текущая директория>\noUo.ico
- <Текущая директория>\KcIe.exe
- <Текущая директория>\KYMs.ico
- <Текущая директория>\fIAa.exe
- <Текущая директория>\cMAs.ico
- <Текущая директория>\roAM.exe
- <Текущая директория>\UQcs.ico
- <Текущая директория>\ygsc.exe
- <Текущая директория>\HEkU.ico
- <Текущая директория>\woUQ.exe
- <Текущая директория>\dWsM.ico
- <Текущая директория>\aAws.exe
- <Текущая директория>\UYUc.ico
- <Текущая директория>\jkAu.exe
- <Текущая директория>\EMMi.exe
- <Текущая директория>\MuAE.ico
- <Текущая директория>\IUEU.exe
- <Текущая директория>\KcEM.ico
- <Текущая директория>\zMMI.exe
- <Текущая директория>\xOkk.ico
- <Текущая директория>\bgsA.exe
- <Текущая директория>\MUYI.ico
- %TEMP%\quscUUIY.bat
- <Текущая директория>\zGQY.ico
- <Текущая директория>\RgMA.ico
- <Текущая директория>\pMsQ.exe
- <Текущая директория>\KYgW.exe
- <Текущая директория>\bEAA.ico
- <Текущая директория>\oosk.exe
- <Текущая директория>\DIsk.ico
Перемещает следующие файлы:
- C:\RCXB12B.tmp в <Текущая директория>\hIYe.exe
- C:\RCXB264.tmp в <Текущая директория>\NgQo.exe
- C:\RCXB38E.tmp в <Текущая директория>\jAcu.exe
- C:\RCXAFC3.tmp в <Текущая директория>\EIku.exe
- C:\RCXA9C8.tmp в <Текущая директория>\ooci.exe
- C:\RCXAB5E.tmp в <Текущая директория>\yooq.exe
- C:\RCXADB0.tmp в <Текущая директория>\AoEM.exe
- C:\RCXB563.tmp в <Текущая директория>\UAEe.exe
- C:\RCXBC1C.tmp в <Текущая директория>\VUUO.exe
- C:\RCXBE4E.tmp в <Текущая директория>\BocK.exe
- C:\RCXC1C8.tmp в <Текущая директория>\cwYI.exe
- C:\RCXBA85.tmp в <Текущая директория>\IUgg.exe
- C:\RCXB757.tmp в <Текущая директория>\AMIU.exe
- C:\RCXB8CE.tmp в <Текущая директория>\vIAQ.exe
- C:\RCXB9AA.tmp в <Текущая директория>\pgoe.exe
- C:\RCXA757.tmp в <Текущая директория>\bcYO.exe
- C:\RCX92F1.tmp в <Текущая директория>\Fogq.exe
- C:\RCX93EC.tmp в <Текущая директория>\eskY.exe
- C:\RCX9544.tmp в <Текущая директория>\NsIe.exe
- C:\RCX91C8.tmp в <Текущая директория>\boYA.exe
- C:\RCX8C87.tmp в <Текущая директория>\dUUi.exe
- C:\RCX8EE8.tmp в <Текущая директория>\uEkE.exe
- C:\RCX90BD.tmp в <Текущая директория>\QsUY.exe
- C:\RCX995A.tmp в <Текущая директория>\QscQ.exe
- C:\RCXA1A9.tmp в <Текущая директория>\PQkI.exe
- C:\RCXA38D.tmp в <Текущая директория>\QMIc.exe
- C:\RCXA524.tmp в <Текущая директория>\jYse.exe
- C:\RCX9F95.tmp в <Текущая директория>\MMEg.exe
- C:\RCX9B00.tmp в <Текущая директория>\kAsY.exe
- C:\RCX9C59.tmp в <Текущая директория>\MwEy.exe
- C:\RCX9D82.tmp в <Текущая директория>\BgEM.exe
- C:\RCXC311.tmp в <Текущая директория>\sogq.exe
- C:\RCXE9A9.tmp в <Текущая директория>\xQsS.exe
- C:\RCXEA65.tmp в <Текущая директория>\ZsYO.exe
- C:\RCXECC7.tmp в <Текущая директория>\AwUw.exe
- C:\RCXE8AF.tmp в <Текущая директория>\hoYM.exe
- C:\RCXE496.tmp в <Текущая директория>\rMIG.exe
- C:\RCXE591.tmp в <Текущая директория>\sIQG.exe
- C:\RCXE776.tmp в <Текущая директория>\UUwg.exe
- C:\RCXEE00.tmp в <Текущая директория>\tEgE.exe
- C:\RCXF516.tmp в <Текущая директория>\EoUk.exe
- C:\RCXF6CC.tmp в <Текущая директория>\MYcw.exe
- C:\RCXF834.tmp в <Текущая директория>\WQgo.exe
- C:\RCXF3ED.tmp в <Текущая директория>\wQoK.exe
- C:\RCXEF87.tmp в <Текущая директория>\XMIq.exe
- C:\RCXF0C0.tmp в <Текущая директория>\Uccu.exe
- C:\RCXF1CA.tmp в <Текущая директория>\YAYy.exe
- C:\RCXE300.tmp в <Текущая директория>\LUUM.exe
- C:\RCXCC4A.tmp в <Текущая директория>\LcYI.exe
- C:\RCXCD63.tmp в <Текущая директория>\aMoC.exe
- C:\RCXD003.tmp в <Текущая директория>\VAMw.exe
- C:\RCXC9E8.tmp в <Текущая директория>\loca.exe
- C:\RCXC505.tmp в <Текущая директория>\IcoK.exe
- C:\RCXC61F.tmp в <Текущая директория>\KMUW.exe
- C:\RCXC7F4.tmp в <Текущая директория>\FwYM.exe
- C:\RCXD40A.tmp в <Текущая директория>\UEcG.exe
- C:\RCXDD81.tmp в <Текущая директория>\YYkA.exe
- C:\RCXDF08.tmp в <Текущая директория>\kUMW.exe
- C:\RCXE0FC.tmp в <Текущая директория>\XwcO.exe
- C:\RCXDC29.tmp в <Текущая директория>\xAMI.exe
- C:\RCXD717.tmp в <Текущая директория>\vUww.exe
- C:\RCXD978.tmp в <Текущая директория>\GEcs.exe
- C:\RCXDAF0.tmp в <Текущая директория>\WgUG.exe
- C:\RCX896A.tmp в <Текущая директория>\DsEy.exe
- C:\RCX318F.tmp в <Текущая директория>\ZUwq.exe
- C:\RCX3548.tmp в <Текущая директория>\RckQ.exe
- C:\RCX375B.tmp в <Текущая директория>\OQQS.exe
- C:\RCX3037.tmp в <Текущая директория>\iQsu.exe
- C:\RCX2B92.tmp в <Текущая директория>\pQIQ.exe
- C:\RCX2CBC.tmp в <Текущая директория>\yoEg.exe
- C:\RCX2EA0.tmp в <Текущая директория>\FkAi.exe
- C:\RCX38C3.tmp в <Текущая директория>\YMss.exe
- C:\RCX42A7.tmp в <Текущая директория>\WIUG.exe
- C:\RCX440F.tmp в <Текущая директория>\sMsy.exe
- C:\RCX45F3.tmp в <Текущая директория>\gQQC.exe
- C:\RCX3E14.tmp в <Текущая директория>\dgwy.exe
- C:\RCX3B34.tmp в <Текущая директория>\DkIE.exe
- C:\RCX3C4E.tmp в <Текущая директория>\mcMU.exe
- C:\RCX3D58.tmp в <Текущая директория>\WEYc.exe
- C:\RCX272E.tmp в <Текущая директория>\FwAI.exe
- C:\RCX10E5.tmp в <Текущая директория>\cUkI.exe
- C:\RCX144F.tmp в <Текущая директория>\tAAI.exe
- C:\RCX15E6.tmp в <Текущая директория>\aEwm.exe
- C:\RCXFCB.tmp в <Текущая директория>\Gwgy.exe
- C:\RCXA4C.tmp в <Текущая директория>\kIgo.exe
- C:\RCXC40.tmp в <Текущая директория>\AIQu.exe
- C:\RCXE15.tmp в <Текущая директория>\PEAU.exe
- C:\RCX18D4.tmp в <Текущая директория>\JgQc.exe
- C:\RCX21FD.tmp в <Текущая директория>\zIsY.exe
- C:\RCX2384.tmp в <Текущая директория>\RgIu.exe
- C:\RCX24DC.tmp в <Текущая директория>\IMYU.exe
- C:\RCX2057.tmp в <Текущая директория>\zMMa.exe
- C:\RCX1A99.tmp в <Текущая директория>\RcUm.exe
- C:\RCX1BF2.tmp в <Текущая директория>\IkEe.exe
- C:\RCX1DA7.tmp в <Текущая директория>\aIks.exe
- C:\RCX48A3.tmp в <Текущая директория>\ygsc.exe
- C:\RCX789D.tmp в <Текущая директория>\NYIc.exe
- C:\RCX79A8.tmp в <Текущая директория>\JgsO.exe
- C:\RCX7AE1.tmp в <Текущая директория>\TIYa.exe
- C:\RCX76E8.tmp в <Текущая директория>\sowI.exe
- C:\RCX71A7.tmp в <Текущая директория>\VscE.exe
- C:\RCX72FF.tmp в <Текущая директория>\HYYG.exe
- C:\RCX7457.tmp в <Текущая директория>\oAEa.exe
- C:\RCX7BCC.tmp в <Текущая директория>\hgsG.exe
- C:\RCX8439.tmp в <Текущая директория>\GcYU.exe
- C:\RCX8582.tmp в <Текущая директория>\zUgQ.exe
- C:\RCX86BB.tmp в <Текущая директория>\lEwo.exe
- C:\RCX8293.tmp в <Текущая директория>\gcMk.exe
- C:\RCX7CC6.tmp в <Текущая директория>\rQYC.exe
- C:\RCX7FA4.tmp в <Текущая директория>\QUIC.exe
- C:\RCX81B8.tmp в <Текущая директория>\EIUQ.exe
- C:\RCX6DA0.tmp в <Текущая директория>\dUEw.exe
- C:\RCX547A.tmp в <Текущая директория>\cMUO.exe
- C:\RCX55D2.tmp в <Текущая директория>\fIAa.exe
- C:\RCX570B.tmp в <Текущая директория>\KcIe.exe
- C:\RCX5276.tmp в <Текущая директория>\wckq.exe
- C:\RCX4BDF.tmp в <Текущая директория>\roAM.exe
- C:\RCX4C6C.tmp в <Текущая директория>\aAws.exe
- C:\RCX4E9F.tmp в <Текущая директория>\woUQ.exe
- C:\RCX57A8.tmp в <Текущая директория>\jkAu.exe
- C:\RCX67C4.tmp в <Текущая директория>\EMMi.exe
- C:\RCX6A35.tmp в <Текущая директория>\bgsA.exe
- C:\RCX6C29.tmp в <Текущая директория>\zMMI.exe
- C:\RCX665C.tmp в <Текущая директория>\IUEU.exe
- C:\RCX5C99.tmp в <Текущая директория>\pMsQ.exe
- C:\RCX5F29.tmp в <Текущая директория>\oosk.exe
- C:\RCX614C.tmp в <Текущая директория>\KYgW.exe
Самоудаляется.
Сетевая активность:
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK google.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Microsoft Windows'
- ClassName: '' WindowName: 'GocwIYEU.exe'
- ClassName: '' WindowName: 'rSYkcwMw.exe'
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
