Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,C:\ProgramData\sIAowgok\rSYkcwMw.exe,'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'rSYkcwMw.exe' = 'C:\ProgramData\sIAowgok\rSYkcwMw.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'GocwIYEU.exe' = '%HOMEPATH%\CaIocokM\GocwIYEU.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\yoYkgMRX] 'Start' = '00000002'
Заражает следующие исполняемые файлы:
- C:\ProgramData\Package Cache\{6c95b50e-cb5a-4a1f-a7b4-8a6004f8dd6a}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{f0080ca2-80ae-4958-b6eb-e8fa916d744a}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{615bc16d-60f5-482e-91b3-b51d8130963b}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{01db25f3-1b76-4d97-88c8-1c90634d88fb}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{2af972c7-13b0-4978-92a8-fee26a4fb4e9}\vcredist_x86.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- 'C:\ProgramData\ZQIIosos\XiskIEYE.exe'
- 'C:\ProgramData\sIAowgok\rSYkcwMw.exe'
- '%HOMEPATH%\CaIocokM\GocwIYEU.exe'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' /pid=0x828 /log
- '<SYSTEM32>\conhost.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\zyUAgowI.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\conhost.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\reg.exe' 0x92c <Имя вируса>.exe
- '<SYSTEM32>\reg.exe' /pid=0x944 /log
- '<SYSTEM32>\conhost.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\zikQQgMM.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\UUMwUQoQ.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' 0xb38 cscript.exe
- '<SYSTEM32>\cscript.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\reg.exe' /pid=0x774 /log
- '<SYSTEM32>\cscript.exe' 0x238 <Имя вируса>.exe
- '<SYSTEM32>\reg.exe' 0x774 cscript.exe
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\rosIoMks.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\conhost.exe'
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\ooUQgcEM.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe'
- '<SYSTEM32>\cscript.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
- '<SYSTEM32>\reg.exe' /pid=0x140 /log
- '<SYSTEM32>\reg.exe' /pid=0x844 /log
- '<SYSTEM32>\reg.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\BiAYcQAc.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\taskhost.exe'
- '<SYSTEM32>\conhost.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
Изменения в файловой системе:
Создает следующие файлы:
- C:\RCXBEDE.tmp
- <Текущая директория>\pkcw.ico
- <Текущая директория>\FgQk.exe
- C:\RCXBE22.tmp
- <Текущая директория>\rWUo.ico
- <Текущая директория>\zEMo.exe
- C:\RCXC279.tmp
- <Текущая директория>\Ccwo.ico
- <Текущая директория>\WEYW.exe
- C:\RCXC130.tmp
- <Текущая директория>\wusE.ico
- <Текущая директория>\GIMI.exe
- <Текущая директория>\JYAu.exe
- <Текущая директория>\sgEi.exe
- C:\RCXB6DF.tmp
- <Текущая директория>\GCUs.ico
- <Текущая директория>\MYMC.exe
- C:\RCXB5B5.tmp
- <Текущая директория>\HeYo.ico
- <Текущая директория>\zcks.exe
- C:\RCXBB34.tmp
- <Текущая директория>\uWUs.ico
- <Текущая директория>\CoIk.exe
- C:\RCXBA59.tmp
- <Текущая директория>\ruQo.ico
- <Текущая директория>\lMIc.exe
- C:\RCXD006.tmp
- <Текущая директория>\DeMo.ico
- <Текущая директория>\owYE.exe
- C:\RCXCDA4.tmp
- <Текущая директория>\cmsE.ico
- <Текущая директория>\EAIo.exe
- C:\RCXD314.tmp
- <Текущая директория>\bYIw.ico
- <Текущая директория>\QcEE.exe
- C:\RCXD1AC.tmp
- <Текущая директория>\GcoQ.ico
- <Текущая директория>\DYYA.ico
- C:\RCXC71C.tmp
- %TEMP%\QYAQwQco.bat
- <Текущая директория>\dOQk.ico
- C:\RCXC5B4.tmp
- <Текущая директория>\RkUM.ico
- <Текущая директория>\zUgs.exe
- <Текущая директория>\XEAo.ico
- <Текущая директория>\JQIW.exe
- C:\RCXCBEF.tmp
- <Текущая директория>\xMcc.exe
- C:\RCXCA0A.tmp
- %TEMP%\zyUAgowI.bat
- C:\RCX9F2E.tmp
- <Текущая директория>\DsME.ico
- <Текущая директория>\vcQw.exe
- C:\RCX9D78.tmp
- <Текущая директория>\zWYA.ico
- <Текущая директория>\rgsW.exe
- C:\RCXA27A.tmp
- <Текущая директория>\IooI.ico
- <Текущая директория>\hEQE.exe
- C:\RCXA112.tmp
- <Текущая директория>\aycw.ico
- <Текущая директория>\xgoQ.exe
- <Текущая директория>\asEE.exe
- C:\RCX94CE.tmp
- <Текущая директория>\MOYg.ico
- %TEMP%\jMkkcAcU.bat
- <Текущая директория>\kogQ.ico
- %TEMP%\JQIEwsgY.bat
- <Текущая директория>\EMwc.exe
- <Текущая директория>\OIwC.exe
- C:\RCX9AD8.tmp
- <Текущая директория>\Zckc.ico
- <Текущая директория>\rEcC.exe
- C:\RCX98A6.tmp
- <Текущая директория>\IUYg.ico
- C:\RCXAC50.tmp
- <Текущая директория>\rwwo.ico
- <Текущая директория>\DQIy.exe
- <Текущая директория>\yIoA.ico
- <Текущая директория>\bUkm.exe
- %TEMP%\MQoEscMo.bat
- <Текущая директория>\QcYG.exe
- C:\RCXB48C.tmp
- <Текущая директория>\FEoA.ico
- C:\RCXB0B4.tmp
- %TEMP%\aaEMMYYE.bat
- <Текущая директория>\riUw.ico
- C:\RCXAAE8.tmp
- C:\RCXA559.tmp
- <Текущая директория>\ogIc.ico
- <Текущая директория>\bMYY.exe
- C:\RCXA3E2.tmp
- <Текущая директория>\RSoY.ico
- <Текущая директория>\dcoa.exe
- C:\RCXAA0D.tmp
- <Текущая директория>\XAcw.ico
- <Текущая директория>\OcoM.exe
- C:\RCXA818.tmp
- <Текущая директория>\UIEA.ico
- <Текущая директория>\rssk.exe
- <Текущая директория>\yAEu.exe
- C:\RCXF808.tmp
- <Текущая директория>\ZCUU.ico
- <Текущая директория>\OUsY.exe
- C:\RCXF652.tmp
- <Текущая директория>\gqso.ico
- <Текущая директория>\AkIe.exe
- C:\RCXFBA2.tmp
- <Текущая директория>\BywI.ico
- <Текущая директория>\gYMs.exe
- C:\RCXF9DD.tmp
- <Текущая директория>\Xgoc.ico
- <Текущая директория>\JMcG.exe
- %TEMP%\UUMwUQoQ.bat
- <Текущая директория>\ZskI.ico
- <Текущая директория>\dEge.exe
- C:\RCXF24A.tmp
- <Текущая директория>\ZMAA.ico
- <Текущая директория>\asoG.exe
- C:\RCXF15F.tmp
- C:\RCXF42F.tmp
- <Текущая директория>\IIAM.ico
- <Текущая директория>\uoYS.exe
- <Текущая директория>\iIMU.ico
- <Текущая директория>\VUUs.exe
- %TEMP%\BWoQMMAI.bat
- <Текущая директория>\augc.ico
- <Текущая директория>\NEwQ.exe
- C:\RCX808.tmp
- <Текущая директория>\HykM.ico
- <Текущая директория>\ZoQG.exe
- C:\RCX6DF.tmp
- C:\RCX9DD.tmp
- <Текущая директория>\WYQI.ico
- <Текущая директория>\xMYc.exe
- <Текущая директория>\KacM.ico
- <Текущая директория>\cwkA.exe
- %TEMP%\wCAockAo.bat
- C:\RCX596.tmp
- C:\RCX101.tmp
- <Текущая директория>\yYgs.ico
- <Текущая директория>\NYMq.exe
- C:\RCXFD68.tmp
- <Текущая директория>\vWUA.ico
- <Текущая директория>\HEwU.exe
- C:\RCX3B1.tmp
- <Текущая директория>\FScw.ico
- <Текущая директория>\Vgkg.exe
- C:\RCX298.tmp
- <Текущая директория>\zuIE.ico
- <Текущая директория>\dUgC.exe
- <Текущая директория>\EQQM.ico
- %TEMP%\PYcwQoUQ.bat
- <Текущая директория>\VMMY.exe
- <Текущая директория>\tAoY.ico
- <Текущая директория>\IYUG.exe
- C:\RCXDBF0.tmp
- <Текущая директория>\VIAs.exe
- C:\RCXE19D.tmp
- <Текущая директория>\JKEU.ico
- C:\RCXDE42.tmp
- <Текущая директория>\wIYU.ico
- %TEMP%\zikQQgMM.bat
- C:\RCXDA78.tmp
- C:\RCXD651.tmp
- <Текущая директория>\Xcks.ico
- <Текущая директория>\wgwK.exe
- C:\RCXD42E.tmp
- <Текущая директория>\MuUc.ico
- <Текущая директория>\Swoa.exe
- C:\RCXD97E.tmp
- <Текущая директория>\tKYc.ico
- <Текущая директория>\SogE.exe
- C:\RCXD8D1.tmp
- <Текущая директория>\VyYU.ico
- <Текущая директория>\Gwwu.exe
- <Текущая директория>\AYgU.ico
- <Текущая директория>\dcsc.exe
- C:\RCXEE31.tmp
- <Текущая директория>\aSUA.ico
- <Текущая директория>\Vgwm.exe
- C:\RCXECBA.tmp
- <Текущая директория>\VUMc.ico
- <Текущая директория>\JcAM.exe
- C:\RCXEFD8.tmp
- <Текущая директория>\eCsg.ico
- <Текущая директория>\bUgI.exe
- C:\RCXEF3B.tmp
- C:\RCXEB42.tmp
- <Текущая директория>\vMQU.exe
- C:\RCXE65F.tmp
- <Текущая директория>\aaUs.ico
- <Текущая директория>\oUQE.exe
- C:\RCXE41D.tmp
- <Текущая директория>\YckI.ico
- <Текущая директория>\tkci.exe
- C:\RCXE9EA.tmp
- <Текущая директория>\iMgI.ico
- <Текущая директория>\GMUM.exe
- C:\RCXE7A8.tmp
- <Текущая директория>\ECIM.ico
- C:\RCX93B4.tmp
- %TEMP%\gMIQsosM.bat
- <Текущая директория>\EYoM.exe
- C:\RCX32B5.tmp
- <Текущая директория>\vkUg.exe
- C:\RCX2F89.tmp
- <Текущая директория>\sMQA.ico
- <Текущая директория>\AscY.ico
- <Текущая директория>\QcAm.exe
- C:\RCX35B4.tmp
- <Текущая директория>\aUok.ico
- <Текущая директория>\qMwm.exe
- C:\RCX346B.tmp
- %TEMP%\dSUscEgc.bat
- <Текущая директория>\nsEy.exe
- C:\RCX272D.tmp
- <Текущая директория>\tksw.ico
- <Текущая директория>\MEES.exe
- C:\RCX2613.tmp
- <Текущая директория>\PIAU.ico
- <Текущая директория>\CIUi.exe
- C:\RCX2D47.tmp
- <Текущая директория>\kQkg.ico
- <Текущая директория>\gscY.exe
- C:\RCX2BD0.tmp
- <Текущая директория>\vQME.ico
- <Текущая директория>\ZQEQ.exe
- C:\RCX440C.tmp
- <Текущая директория>\dEEU.ico
- <Текущая директория>\GkMa.exe
- C:\RCX416C.tmp
- <Текущая директория>\fUQE.ico
- <Текущая директория>\icMo.exe
- C:\RCX471A.tmp
- <Текущая директория>\wQEU.ico
- <Текущая директория>\wgIQ.exe
- C:\RCX44E7.tmp
- <Текущая директория>\wKQU.ico
- <Текущая директория>\XeYY.ico
- <Текущая директория>\TKEI.ico
- <Текущая директория>\TYgm.exe
- C:\RCX3CD7.tmp
- <Текущая директория>\biAg.ico
- <Текущая директория>\VsYS.exe
- C:\RCX37E6.tmp
- <Текущая директория>\GgYk.ico
- <Текущая директория>\dkIi.exe
- C:\RCX3FF5.tmp
- <Текущая директория>\gOUw.ico
- <Текущая директория>\ogYe.exe
- C:\RCX3EBC.tmp
- <Текущая директория>\AAcO.exe
- C:\RCX1131.tmp
- <Текущая директория>\fkEg.ico
- <Текущая директория>\cEUG.exe
- C:\RCX1094.tmp
- <Текущая директория>\nYME.ico
- <Текущая директория>\jQQw.exe
- C:\RCX1355.tmp
- <Текущая директория>\AgsQ.ico
- <Текущая директория>\eQAm.exe
- C:\RCX11FD.tmp
- <Текущая директория>\CoUc.ico
- <Текущая директория>\aIEM.ico
- <SYSTEM32>\config\systemprofile\CaIocokM\GocwIYEU
- %TEMP%\ZeIoQIIk.bat
- <Текущая директория>\<Имя вируса>
- %HOMEPATH%\CaIocokM\GocwIYEU
- C:\ProgramData\sIAowgok\rSYkcwMw
- C:\ProgramData\ZQIIosos\XiskIEYE.exe
- <Текущая директория>\zIwk.ico
- <Текущая директория>\esUG.exe
- C:\RCXFB8.tmp
- C:\ProgramData\kaog.txt
- %TEMP%\lAoIQIko.bat
- %TEMP%\file.vbs
- <Текущая директория>\Gssu.exe
- C:\RCX1F0E.tmp
- <Текущая директория>\DOgk.ico
- <Текущая директория>\xUUw.ico
- C:\RCX1E42.tmp
- <Текущая директория>\siYQ.ico
- <Текущая директория>\eMcu.exe
- C:\RCX24BB.tmp
- <Текущая директория>\ISsA.ico
- <Текущая директория>\OIAA.exe
- C:\RCX219E.tmp
- <Текущая директория>\gOEY.ico
- C:\RCX1CEA.tmp
- <Текущая директория>\cEkw.ico
- <Текущая директория>\oMEy.exe
- C:\RCX18F2.tmp
- <Текущая директория>\IgQi.exe
- C:\RCX1587.tmp
- %TEMP%\IUgAwIIk.bat
- C:\RCX1AF6.tmp
- <Текущая директория>\kCoI.ico
- <Текущая директория>\qEsG.exe
- %TEMP%\UqAcEkEk.bat
- <Текущая директория>\yiUk.ico
- <Текущая директория>\Gwcq.exe
- %TEMP%\xCEkEAIU.bat
- <Текущая директория>\DEYc.exe
- C:\RCX7FAC.tmp
- <Текущая директория>\kGAI.ico
- <Текущая директория>\ZYoQ.exe
- C:\RCX7E54.tmp
- <Текущая директория>\OWog.ico
- <Текущая директория>\fIgu.exe
- C:\RCX82E9.tmp
- <Текущая директория>\NgwQ.ico
- <Текущая директория>\aEcc.exe
- C:\RCX8087.tmp
- <Текущая директория>\MyYM.ico
- <Текущая директория>\ywAQ.ico
- C:\RCX74EE.tmp
- <Текущая директория>\SQQw.ico
- <Текущая директория>\QgAe.exe
- C:\RCX72FA.tmp
- <Текущая директория>\eYgQ.ico
- <Текущая директория>\rAcq.exe
- <Текущая директория>\TAAm.exe
- C:\RCX79B1.tmp
- %TEMP%\rosIoMks.bat
- C:\RCX7750.tmp
- <Текущая директория>\TSIs.ico
- %TEMP%\egUQEEkQ.bat
- C:\RCX8CFD.tmp
- <Текущая директория>\DScY.ico
- <Текущая директория>\sgsK.exe
- C:\RCX8B18.tmp
- <Текущая директория>\lOIo.ico
- <Текущая директория>\Gsge.exe
- C:\RCX929A.tmp
- <Текущая директория>\eeII.ico
- <Текущая директория>\zMgm.exe
- C:\RCX9096.tmp
- <Текущая директория>\zKMQ.ico
- <Текущая директория>\PoIU.exe
- <Текущая директория>\kQEQ.exe
- <Текущая директория>\yQwI.exe
- C:\RCX86E1.tmp
- <Текущая директория>\OgwY.ico
- <Текущая директория>\xEco.exe
- C:\RCX84BE.tmp
- <Текущая директория>\SYMo.ico
- <Текущая директория>\rscq.exe
- C:\RCX8A0E.tmp
- <Текущая директория>\DaIQ.ico
- <Текущая директория>\sIEo.exe
- C:\RCX8877.tmp
- <Текущая директория>\gWUA.ico
- <Текущая директория>\UsIi.exe
- C:\RCX5775.tmp
- <Текущая директория>\KckI.ico
- <Текущая директория>\LEsS.exe
- C:\RCX562C.tmp
- <Текущая директория>\qcIU.ico
- <Текущая директория>\PMki.exe
- C:\RCX5C18.tmp
- <Текущая директория>\yyEw.ico
- <Текущая директория>\PQMg.exe
- C:\RCX5A43.tmp
- <Текущая директория>\nKkQ.ico
- <Текущая директория>\sOgo.ico
- <Текущая директория>\KmIo.ico
- <Текущая директория>\dcYW.exe
- C:\RCX4D63.tmp
- <Текущая директория>\FYYY.exe
- C:\RCX4B8E.tmp
- %TEMP%\ooUQgcEM.bat
- <Текущая директория>\tmcQ.ico
- <Текущая директория>\dcgA.exe
- C:\RCX530F.tmp
- <Текущая директория>\MUQM.ico
- <Текущая директория>\LscG.exe
- C:\RCX5198.tmp
- <Служебный элемент>
- <Текущая директория>\nAEc.ico
- <Текущая директория>\NgUs.exe
- <Текущая директория>\CcsI.ico
- <Текущая директория>\xskC.exe
- C:\RCX6947.tmp
- C:\RCX6FDE.tmp
- <Текущая директория>\rWgM.ico
- <Текущая директория>\JUEE.exe
- C:\RCX6C63.tmp
- <Текущая директория>\sQog.ico
- <Текущая директория>\eUAg.exe
- C:\RCX65FB.tmp
- <Текущая директория>\rQoM.exe
- C:\RCX5FC2.tmp
- <Текущая директория>\UOww.ico
- <Текущая директория>\eEsC.exe
- C:\RCX5DBE.tmp
- <Текущая директория>\pEYk.ico
- %TEMP%\BiAYcQAc.bat
- <Текущая директория>\mWAQ.ico
- <Текущая директория>\lUce.exe
- %TEMP%\yqQYcYwI.bat
- <Текущая директория>\Ggsq.exe
- C:\RCX636B.tmp
Удаляет следующие файлы:
- <Текущая директория>\wusE.ico
- <Текущая директория>\GIMI.exe
- <Текущая директория>\pkcw.ico
- <Текущая директория>\FgQk.exe
- %TEMP%\aaEMMYYE.bat
- <Текущая директория>\RkUM.ico
- <Текущая директория>\Ccwo.ico
- <Текущая директория>\WEYW.exe
- <Текущая директория>\ruQo.ico
- <Текущая директория>\zcks.exe
- <Текущая директория>\GCUs.ico
- <Текущая директория>\CoIk.exe
- <Текущая директория>\rWUo.ico
- <Текущая директория>\zEMo.exe
- <Текущая директория>\uWUs.ico
- <Текущая директория>\JYAu.exe
- <Текущая директория>\zUgs.exe
- <Текущая директория>\QcEE.exe
- <Текущая директория>\GcoQ.ico
- <Текущая директория>\lMIc.exe
- <Текущая директория>\DeMo.ico
- <Текущая директория>\yAEu.exe
- <Текущая директория>\MuUc.ico
- <Текущая директория>\EAIo.exe
- <Текущая директория>\bYIw.ico
- <Текущая директория>\xMcc.exe
- <Текущая директория>\XEAo.ico
- %TEMP%\QYAQwQco.bat
- <Текущая директория>\dOQk.ico
- <Текущая директория>\owYE.exe
- <Текущая директория>\cmsE.ico
- <Текущая директория>\JQIW.exe
- <Текущая директория>\DYYA.ico
- <Текущая директория>\aycw.ico
- <Текущая директория>\xgoQ.exe
- <Текущая директория>\DsME.ico
- <Текущая директория>\vcQw.exe
- <Текущая директория>\RSoY.ico
- <Текущая директория>\dcoa.exe
- <Текущая директория>\IooI.ico
- <Текущая директория>\hEQE.exe
- <Текущая директория>\IUYg.ico
- <Текущая директория>\OIwC.exe
- <Текущая директория>\MOYg.ico
- <Текущая директория>\rEcC.exe
- <Текущая директория>\zWYA.ico
- <Текущая директория>\rgsW.exe
- <Текущая директория>\Zckc.ico
- <Текущая директория>\asEE.exe
- <Текущая директория>\ogIc.ico
- <Текущая директория>\riUw.ico
- <Текущая директория>\QcYG.exe
- <Текущая директория>\rwwo.ico
- <Текущая директория>\DQIy.exe
- <Текущая директория>\HeYo.ico
- <Текущая директория>\sgEi.exe
- <Текущая директория>\FEoA.ico
- <Текущая директория>\MYMC.exe
- <Текущая директория>\rssk.exe
- <Текущая директория>\XAcw.ico
- <Текущая директория>\bMYY.exe
- <Текущая директория>\UIEA.ico
- <Текущая директория>\bUkm.exe
- %TEMP%\MQoEscMo.bat
- <Текущая директория>\OcoM.exe
- <Текущая директория>\yIoA.ico
- <Текущая директория>\AkIe.exe
- <Текущая директория>\ZCUU.ico
- <Текущая директория>\uoYS.exe
- <Текущая директория>\gqso.ico
- <Текущая директория>\JMcG.exe
- <Текущая директория>\BywI.ico
- <Текущая директория>\OUsY.exe
- <Текущая директория>\Xgoc.ico
- <Текущая директория>\ZskI.ico
- <Текущая директория>\dEge.exe
- <Текущая директория>\ZMAA.ico
- <Текущая директория>\asoG.exe
- %TEMP%\BWoQMMAI.bat
- <Текущая директория>\IIAM.ico
- <Текущая директория>\iIMU.ico
- <Текущая директория>\VUUs.exe
- <Текущая директория>\gYMs.exe
- %TEMP%\UUMwUQoQ.bat
- <Текущая директория>\augc.ico
- <Текущая директория>\HykM.ico
- <Текущая директория>\ZoQG.exe
- <Текущая директория>\cwkA.exe
- %TEMP%\wCAockAo.bat
- <Текущая директория>\NEwQ.exe
- <Текущая директория>\KacM.ico
- <Текущая директория>\yYgs.ico
- <Текущая директория>\NYMq.exe
- <Текущая директория>\vWUA.ico
- <Текущая директория>\HEwU.exe
- <Текущая директория>\FScw.ico
- <Текущая директория>\Vgkg.exe
- <Текущая директория>\zuIE.ico
- <Текущая директория>\dUgC.exe
- %TEMP%\PYcwQoUQ.bat
- <Текущая директория>\EQQM.ico
- <Текущая директория>\tAoY.ico
- <Текущая директория>\IYUG.exe
- <Текущая директория>\VIAs.exe
- <Текущая директория>\JKEU.ico
- <Текущая директория>\VMMY.exe
- <Текущая директория>\wIYU.ico
- <Текущая директория>\wgwK.exe
- %TEMP%\zyUAgowI.bat
- <Текущая директория>\Swoa.exe
- <Текущая директория>\Xcks.ico
- <Текущая директория>\tKYc.ico
- <Текущая директория>\SogE.exe
- <Текущая директория>\VyYU.ico
- <Текущая директория>\Gwwu.exe
- <Текущая директория>\oUQE.exe
- <Текущая директория>\AYgU.ico
- <Текущая директория>\dcsc.exe
- <Текущая директория>\Vgwm.exe
- %TEMP%\zikQQgMM.bat
- <Текущая директория>\VUMc.ico
- <Текущая директория>\JcAM.exe
- <Текущая директория>\eCsg.ico
- <Текущая директория>\bUgI.exe
- <Текущая директория>\aaUs.ico
- <Текущая директория>\GMUM.exe
- <Текущая директория>\YckI.ico
- <Текущая директория>\vMQU.exe
- <Текущая директория>\iMgI.ico
- <Текущая директория>\aSUA.ico
- <Текущая директория>\ECIM.ico
- <Текущая директория>\tkci.exe
- <Текущая директория>\EMwc.exe
- <Текущая директория>\QcAm.exe
- <Текущая директория>\biAg.ico
- <Текущая директория>\qMwm.exe
- <Текущая директория>\AscY.ico
- <Текущая директория>\TYgm.exe
- <Текущая директория>\gOUw.ico
- <Текущая директория>\VsYS.exe
- <Текущая директория>\TKEI.ico
- %TEMP%\dSUscEgc.bat
- <Текущая директория>\kQkg.ico
- <Текущая директория>\vQME.ico
- <Текущая директория>\CIUi.exe
- <Текущая директория>\EYoM.exe
- <Текущая директория>\aUok.ico
- <Текущая директория>\vkUg.exe
- <Текущая директория>\sMQA.ico
- <Текущая директория>\ogYe.exe
- %TEMP%\xCEkEAIU.bat
- <Текущая директория>\wQEU.ico
- <Текущая директория>\wKQU.ico
- <Текущая директория>\icMo.exe
- <Текущая директория>\dcYW.exe
- <Текущая директория>\MUQM.ico
- <Текущая директория>\FYYY.exe
- <Текущая директория>\KmIo.ico
- <Текущая директория>\XeYY.ico
- <Текущая директория>\GkMa.exe
- <Текущая директория>\GgYk.ico
- <Текущая директория>\dkIi.exe
- <Текущая директория>\dEEU.ico
- <Текущая директория>\wgIQ.exe
- <Текущая директория>\fUQE.ico
- <Текущая директория>\ZQEQ.exe
- <Текущая директория>\jQQw.exe
- <Текущая директория>\AgsQ.ico
- <Текущая директория>\eQAm.exe
- <Текущая директория>\CoUc.ico
- <Текущая директория>\cEkw.ico
- <Текущая директория>\oMEy.exe
- <Текущая директория>\IgQi.exe
- %TEMP%\IUgAwIIk.bat
- <Текущая директория>\esUG.exe
- <Текущая директория>\aIEM.ico
- %TEMP%\ZeIoQIIk.bat
- <Текущая директория>\zIwk.ico
- <Текущая директория>\AAcO.exe
- <Текущая директория>\fkEg.ico
- <Текущая директория>\cEUG.exe
- <Текущая директория>\nYME.ico
- <Текущая директория>\yiUk.ico
- <Текущая директория>\ISsA.ico
- <Текущая директория>\MEES.exe
- <Текущая директория>\gOEY.ico
- <Текущая директория>\eMcu.exe
- <Текущая директория>\tksw.ico
- <Текущая директория>\gscY.exe
- <Текущая директория>\PIAU.ico
- <Текущая директория>\nsEy.exe
- <Текущая директория>\qEsG.exe
- <Текущая директория>\xUUw.ico
- <Текущая директория>\Gwcq.exe
- <Текущая директория>\kCoI.ico
- <Текущая директория>\DOgk.ico
- <Текущая директория>\OIAA.exe
- <Текущая директория>\siYQ.ico
- <Текущая директория>\Gssu.exe
- <Текущая директория>\MyYM.ico
- <Текущая директория>\fIgu.exe
- <Текущая директория>\kGAI.ico
- <Текущая директория>\aEcc.exe
- <Текущая директория>\SYMo.ico
- <Текущая директория>\yQwI.exe
- <Текущая директория>\NgwQ.ico
- <Текущая директория>\xEco.exe
- <Текущая директория>\TSIs.ico
- <Текущая директория>\TAAm.exe
- %TEMP%\BiAYcQAc.bat
- %TEMP%\egUQEEkQ.bat
- <Текущая директория>\OWog.ico
- <Текущая директория>\DEYc.exe
- <Текущая директория>\ywAQ.ico
- <Текущая директория>\ZYoQ.exe
- <Текущая директория>\OgwY.ico
- <Текущая директория>\zKMQ.ico
- <Текущая директория>\PoIU.exe
- <Текущая директория>\sgsK.exe
- %TEMP%\rosIoMks.bat
- %TEMP%\JQIEwsgY.bat
- <Текущая директория>\kogQ.ico
- <Текущая директория>\eeII.ico
- <Текущая директория>\zMgm.exe
- <Текущая директория>\rscq.exe
- <Текущая директория>\DaIQ.ico
- <Текущая директория>\sIEo.exe
- <Текущая директория>\gWUA.ico
- <Текущая директория>\Gsge.exe
- <Текущая директория>\DScY.ico
- <Текущая директория>\kQEQ.exe
- <Текущая директория>\lOIo.ico
- <Текущая директория>\PMki.exe
- <Текущая директория>\yyEw.ico
- <Текущая директория>\PQMg.exe
- <Текущая директория>\nKkQ.ico
- <Текущая директория>\pEYk.ico
- <Текущая директория>\rQoM.exe
- <Текущая директория>\eEsC.exe
- %TEMP%\ooUQgcEM.bat
- <Текущая директория>\dcgA.exe
- <Текущая директория>\sOgo.ico
- <Текущая директория>\LscG.exe
- <Текущая директория>\tmcQ.ico
- <Текущая директория>\UsIi.exe
- <Текущая директория>\KckI.ico
- <Текущая директория>\LEsS.exe
- <Текущая директория>\qcIU.ico
- %TEMP%\yqQYcYwI.bat
- <Текущая директория>\rWgM.ico
- <Текущая директория>\JUEE.exe
- <Текущая директория>\sQog.ico
- <Текущая директория>\eUAg.exe
- <Текущая директория>\SQQw.ico
- <Текущая директория>\QgAe.exe
- <Текущая директория>\eYgQ.ico
- <Текущая директория>\rAcq.exe
- <Текущая директория>\mWAQ.ico
- <Текущая директория>\lUce.exe
- <Текущая директория>\UOww.ico
- <Текущая директория>\Ggsq.exe
- <Текущая директория>\nAEc.ico
- <Текущая директория>\NgUs.exe
- <Текущая директория>\CcsI.ico
- <Текущая директория>\xskC.exe
Перемещает следующие файлы:
- C:\RCXC130.tmp в <Текущая директория>\FgQk.exe
- C:\RCXC279.tmp в <Текущая директория>\GIMI.exe
- C:\RCXC5B4.tmp в <Текущая директория>\WEYW.exe
- C:\RCXBEDE.tmp в <Текущая директория>\zEMo.exe
- C:\RCXBA59.tmp в <Текущая директория>\CoIk.exe
- C:\RCXBB34.tmp в <Текущая директория>\zcks.exe
- C:\RCXBE22.tmp в <Текущая директория>\JYAu.exe
- C:\RCXC71C.tmp в <Текущая директория>\zUgs.exe
- C:\RCXD1AC.tmp в <Текущая директория>\QcEE.exe
- C:\RCXD314.tmp в <Текущая директория>\EAIo.exe
- C:\RCXD42E.tmp в <Текущая директория>\yAEu.exe
- C:\RCXD006.tmp в <Текущая директория>\lMIc.exe
- C:\RCXCA0A.tmp в <Текущая директория>\xMcc.exe
- C:\RCXCBEF.tmp в <Текущая директория>\JQIW.exe
- C:\RCXCDA4.tmp в <Текущая директория>\owYE.exe
- C:\RCXB6DF.tmp в <Текущая директория>\sgEi.exe
- C:\RCXA112.tmp в <Текущая директория>\vcQw.exe
- C:\RCXA27A.tmp в <Текущая директория>\xgoQ.exe
- C:\RCXA3E2.tmp в <Текущая директория>\hEQE.exe
- C:\RCX9F2E.tmp в <Текущая директория>\rgsW.exe
- C:\RCX98A6.tmp в <Текущая директория>\rEcC.exe
- C:\RCX9AD8.tmp в <Текущая директория>\OIwC.exe
- C:\RCX9D78.tmp в <Текущая директория>\asEE.exe
- C:\RCXA559.tmp в <Текущая директория>\dcoa.exe
- C:\RCXB0B4.tmp в <Текущая директория>\DQIy.exe
- C:\RCXB48C.tmp в <Текущая директория>\QcYG.exe
- C:\RCXB5B5.tmp в <Текущая директория>\MYMC.exe
- C:\RCXAC50.tmp в <Текущая директория>\bUkm.exe
- C:\RCXA818.tmp в <Текущая директория>\bMYY.exe
- C:\RCXAA0D.tmp в <Текущая директория>\rssk.exe
- C:\RCXAAE8.tmp в <Текущая директория>\OcoM.exe
- C:\RCXF808.tmp в <Текущая директория>\AkIe.exe
- C:\RCXF9DD.tmp в <Текущая директория>\OUsY.exe
- C:\RCXFBA2.tmp в <Текущая директория>\JMcG.exe
- C:\RCXF652.tmp в <Текущая директория>\uoYS.exe
- C:\RCXF15F.tmp в <Текущая директория>\asoG.exe
- C:\RCXF24A.tmp в <Текущая директория>\dEge.exe
- C:\RCXF42F.tmp в <Текущая директория>\VUUs.exe
- C:\RCXFD68.tmp в <Текущая директория>\gYMs.exe
- C:\RCX6DF.tmp в <Текущая директория>\ZoQG.exe
- C:\RCX808.tmp в <Текущая директория>\NEwQ.exe
- C:\RCX9DD.tmp в <Текущая директория>\cwkA.exe
- C:\RCX596.tmp в <Текущая директория>\Vgkg.exe
- C:\RCX101.tmp в <Текущая директория>\HEwU.exe
- C:\RCX298.tmp в <Текущая директория>\NYMq.exe
- C:\RCX3B1.tmp в <Текущая директория>\dUgC.exe
- C:\RCXEFD8.tmp в <Текущая директория>\JcAM.exe
- C:\RCXDBF0.tmp в <Текущая директория>\IYUG.exe
- C:\RCXDE42.tmp в <Текущая директория>\VMMY.exe
- C:\RCXE19D.tmp в <Текущая директория>\VIAs.exe
- C:\RCXDA78.tmp в <Текущая директория>\SogE.exe
- C:\RCXD651.tmp в <Текущая директория>\Swoa.exe
- C:\RCXD8D1.tmp в <Текущая директория>\wgwK.exe
- C:\RCXD97E.tmp в <Текущая директория>\Gwwu.exe
- C:\RCXE41D.tmp в <Текущая директория>\oUQE.exe
- C:\RCXECBA.tmp в <Текущая директория>\Vgwm.exe
- C:\RCXEE31.tmp в <Текущая директория>\dcsc.exe
- C:\RCXEF3B.tmp в <Текущая директория>\bUgI.exe
- C:\RCXEB42.tmp в <Текущая директория>\Ocom.exe
- C:\RCXE65F.tmp в <Текущая директория>\vMQU.exe
- C:\RCXE7A8.tmp в <Текущая директория>\GMUM.exe
- C:\RCXE9EA.tmp в <Текущая директория>\tkci.exe
- C:\RCX35B4.tmp в <Текущая директория>\QcAm.exe
- C:\RCX37E6.tmp в <Текущая директория>\VsYS.exe
- C:\RCX3CD7.tmp в <Текущая директория>\TYgm.exe
- C:\RCX346B.tmp в <Текущая директория>\qMwm.exe
- C:\RCX2D47.tmp в <Текущая директория>\CIUi.exe
- C:\RCX2F89.tmp в <Текущая директория>\vkUg.exe
- C:\RCX32B5.tmp в <Текущая директория>\EYoM.exe
- C:\RCX3EBC.tmp в <Текущая директория>\ogYe.exe
- C:\RCX471A.tmp в <Текущая директория>\icMo.exe
- C:\RCX4B8E.tmp в <Текущая директория>\FYYY.exe
- C:\RCX4D63.tmp в <Текущая директория>\dcYW.exe
- C:\RCX44E7.tmp в <Текущая директория>\wgIQ.exe
- C:\RCX3FF5.tmp в <Текущая директория>\dkIi.exe
- C:\RCX416C.tmp в <Текущая директория>\GkMa.exe
- C:\RCX440C.tmp в <Текущая директория>\ZQEQ.exe
- C:\RCX2BD0.tmp в <Текущая директория>\gscY.exe
- C:\RCX1355.tmp в <Текущая директория>\jQQw.exe
- C:\RCX1587.tmp в <Текущая директория>\IgQi.exe
- C:\RCX18F2.tmp в <Текущая директория>\oMEy.exe
- C:\RCX11FD.tmp в <Текущая директория>\eQAm.exe
- C:\RCXFB8.tmp в <Текущая директория>\esUG.exe
- C:\RCX1094.tmp в <Текущая директория>\cEUG.exe
- C:\RCX1131.tmp в <Текущая директория>\AAcO.exe
- C:\RCX1AF6.tmp в <Текущая директория>\Gwcq.exe
- C:\RCX24BB.tmp в <Текущая директория>\eMcu.exe
- C:\RCX2613.tmp в <Текущая директория>\MEES.exe
- C:\RCX272D.tmp в <Текущая директория>\nsEy.exe
- C:\RCX219E.tmp в <Текущая директория>\OIAA.exe
- C:\RCX1CEA.tmp в <Текущая директория>\qEsG.exe
- C:\RCX1E42.tmp в <Текущая директория>\OMEy.exe
- C:\RCX1F0E.tmp в <Текущая директория>\Gssu.exe
- C:\RCX82E9.tmp в <Текущая директория>\fIgu.exe
- C:\RCX84BE.tmp в <Текущая директория>\xEco.exe
- C:\RCX86E1.tmp в <Текущая директория>\yQwI.exe
- C:\RCX8087.tmp в <Текущая директория>\aEcc.exe
- C:\RCX79B1.tmp в <Текущая директория>\TAAm.exe
- C:\RCX7E54.tmp в <Текущая директория>\ZYoQ.exe
- C:\RCX7FAC.tmp в <Текущая директория>\DEYc.exe
- C:\RCX8877.tmp в <Текущая директория>\sIEo.exe
- C:\RCX929A.tmp в <Текущая директория>\PoIU.exe
- C:\RCX93B4.tmp в <Текущая директория>\zMgm.exe
- C:\RCX94CE.tmp в <Текущая директория>\EMwc.exe
- C:\RCX9096.tmp в <Текущая директория>\sgsK.exe
- C:\RCX8A0E.tmp в <Текущая директория>\rscq.exe
- C:\RCX8B18.tmp в <Текущая директория>\kQEQ.exe
- C:\RCX8CFD.tmp в <Текущая директория>\Gsge.exe
- C:\RCX7750.tmp в <Текущая директория>\QgAe.exe
- C:\RCX5A43.tmp в <Текущая директория>\PQMg.exe
- C:\RCX5C18.tmp в <Текущая директория>\PMki.exe
- C:\RCX5DBE.tmp в <Текущая директория>\eEsC.exe
- C:\RCX5775.tmp в <Текущая директория>\UsIi.exe
- C:\RCX5198.tmp в <Текущая директория>\LscG.exe
- C:\RCX530F.tmp в <Текущая директория>\dcgA.exe
- C:\RCX562C.tmp в <Текущая директория>\LEsS.exe
- C:\RCX5FC2.tmp в <Текущая директория>\rQoM.exe
- C:\RCX6FDE.tmp в <Текущая директория>\eUAg.exe
- C:\RCX72FA.tmp в <Текущая директория>\JUEE.exe
- C:\RCX74EE.tmp в <Текущая директория>\rAcq.exe
- C:\RCX6C63.tmp в <Текущая директория>\NgUs.exe
- C:\RCX636B.tmp в <Текущая директория>\Ggsq.exe
- C:\RCX65FB.tmp в <Текущая директория>\lUce.exe
- C:\RCX6947.tmp в <Текущая директория>\xskC.exe
Самоудаляется.
Сетевая активность:
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK google.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Microsoft Windows'
- ClassName: '' WindowName: 'GocwIYEU.exe'
- ClassName: '' WindowName: 'rSYkcwMw.exe'
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
