Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,C:\ProgramData\sIAowgok\rSYkcwMw.exe,'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'rSYkcwMw.exe' = 'C:\ProgramData\sIAowgok\rSYkcwMw.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'GocwIYEU.exe' = '%HOMEPATH%\CaIocokM\GocwIYEU.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\yoYkgMRX] 'Start' = '00000002'
Заражает следующие исполняемые файлы:
- C:\ProgramData\Package Cache\{6c95b50e-cb5a-4a1f-a7b4-8a6004f8dd6a}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{f0080ca2-80ae-4958-b6eb-e8fa916d744a}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{615bc16d-60f5-482e-91b3-b51d8130963b}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{01db25f3-1b76-4d97-88c8-1c90634d88fb}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{2af972c7-13b0-4978-92a8-fee26a4fb4e9}\vcredist_x86.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- 'C:\ProgramData\ZQIIosos\XiskIEYE.exe'
- 'C:\ProgramData\sIAowgok\rSYkcwMw.exe'
- '%HOMEPATH%\CaIocokM\GocwIYEU.exe'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\cscript.exe' /pid=0x100 /log
- '<SYSTEM32>\conhost.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\reg.exe' /pid=0x980 /log
- '<SYSTEM32>\reg.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\wbem\wmiprvse.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\cscript.exe' /c ""%TEMP%\RMkUAQoI.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' /pid=0xc30 /log
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\EuIwsocc.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\gIYoQAEA.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\reg.exe' /pid=0x9f0 /log
- '<SYSTEM32>\reg.exe' /pid=0xfc /log
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\dWwkYoQE.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\reg.exe' 0x920 cscript.exe
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\LiUkQkAw.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\zkgkYEss.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\SkkMEksY.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\conhost.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
- '<SYSTEM32>\conhost.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\conhost.exe'
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\cscript.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
- '<SYSTEM32>\reg.exe' 0x3dc cscript.exe
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\uoAogAoE.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\cscript.exe' 0x4f8 cscript.exe
- '<SYSTEM32>\cscript.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
- '<SYSTEM32>\conhost.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\conhost.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- '<SYSTEM32>\reg.exe'
- '<SYSTEM32>\reg.exe' 0x58c <Имя вируса>.exe
- '<SYSTEM32>\reg.exe' /c ""%TEMP%\pmUMwock.bat" "<Полный путь к вирусу>""
Изменения в файловой системе:
Создает следующие файлы:
- C:\RCX1181.tmp
- <Текущая директория>\nkII.ico
- <Текущая директория>\gAIa.exe
- C:\RCX1019.tmp
- <Текущая директория>\gIgI.ico
- <Текущая директория>\woIO.exe
- C:\RCX1395.tmp
- <Текущая директория>\AoEY.ico
- <Текущая директория>\igky.exe
- C:\RCX126C.tmp
- <Текущая директория>\UIQC.exe
- <Текущая директория>\FQoG.exe
- C:\RCXD49.tmp
- %TEMP%\zscoowwQ.bat
- C:\RCXAB9.tmp
- <Текущая директория>\JSAo.ico
- C:\RCXEA1.tmp
- <Текущая директория>\iAIU.ico
- %TEMP%\ISEIgoEc.bat
- <Текущая директория>\PUAM.ico
- <Текущая директория>\Uksw.exe
- C:\RCX1B57.tmp
- <Текущая директория>\akII.ico
- <Текущая директория>\bcwE.exe
- C:\RCX1A0F.tmp
- <Текущая директория>\bcgc.ico
- <Текущая директория>\Tgoa.exe
- C:\RCX1CC0.tmp
- <Текущая директория>\NAIA.ico
- <Текущая директория>\LAcy.exe
- C:\RCX1BE5.tmp
- <Текущая директория>\UkoS.exe
- <Текущая директория>\mUEc.ico
- <Текущая директория>\MIwe.exe
- C:\RCX1616.tmp
- <Текущая директория>\nGwE.ico
- <Текущая директория>\ZgAC.exe
- C:\RCX18C6.tmp
- <Текущая директория>\QqkY.ico
- <Текущая директория>\NUco.exe
- C:\RCX176E.tmp
- <Текущая директория>\YWsM.ico
- <Текущая директория>\wgMs.exe
- C:\RCXFB93.tmp
- <Текущая директория>\WSwQ.ico
- C:\RCXF932.tmp
- %TEMP%\VIsoQgQY.bat
- <Текущая директория>\bMkc.ico
- <Текущая директория>\poYG.exe
- C:\RCXFCEB.tmp
- <Текущая директория>\wasM.ico
- <Текущая директория>\McUk.exe
- <Текущая директория>\Rwgm.exe
- <Текущая директория>\EAoq.exe
- C:\RCXF672.tmp
- <Текущая директория>\WoQs.ico
- <Текущая директория>\lYkk.exe
- C:\RCXF51A.tmp
- <Текущая директория>\FUQg.ico
- %TEMP%\BcIMoMsU.bat
- C:\RCXF79B.tmp
- <Текущая директория>\YyoA.ico
- <Текущая директория>\FQYs.exe
- <Текущая директория>\CQAG.exe
- C:\RCX6D1.tmp
- <Текущая директория>\ukAI.ico
- <Текущая директория>\AUMm.exe
- C:\RCX54A.tmp
- <Текущая директория>\rGwc.ico
- <Текущая директория>\oIYW.exe
- C:\RCX961.tmp
- <Текущая директория>\uwgo.ico
- <Текущая директория>\AQos.exe
- <Текущая директория>\FUcs.ico
- C:\RCX28.tmp
- <Текущая директория>\nCoE.ico
- <Текущая директория>\vAoA.exe
- C:\RCXFEA1.tmp
- <Текущая директория>\WmME.ico
- <Текущая директория>\PgUI.exe
- C:\RCX430.tmp
- <Текущая директория>\Vccw.ico
- <Текущая директория>\Ksgm.exe
- C:\RCX1FD.tmp
- <Текущая директория>\vwQo.ico
- C:\RCX3BA8.tmp
- <Текущая директория>\oWMs.ico
- <Текущая директория>\pwEK.exe
- C:\RCX3937.tmp
- <Текущая директория>\AyUg.ico
- %TEMP%\uoAogAoE.bat
- %TEMP%\XCoYkkkY.bat
- %TEMP%\CiQUkQMk.bat
- %TEMP%\vCYoQsck.bat
- %TEMP%\lUQUcMcI.bat
- <Текущая директория>\wkko.exe
- <Текущая директория>\XIAa.exe
- %TEMP%\HAgQYUcA.bat
- <Текущая директория>\kWgM.ico
- %TEMP%\beMIkssM.bat
- C:\RCX3415.tmp
- C:\RCX387A.tmp
- <Текущая директория>\UGcE.ico
- <Текущая директория>\KIAS.exe
- C:\RCX35BB.tmp
- <Текущая директория>\kAck.ico
- %TEMP%\QWAcAUMQ.bat
- %TEMP%\IesYIwkE.bat
- %TEMP%\XKIwEEkc.bat
- %TEMP%\aYAsgYsQ.bat
- %TEMP%\EuIwsocc.bat
- %TEMP%\zAQgYEAs.bat
- %TEMP%\gIYoQAEA.bat
- %TEMP%\LiUkQkAw.bat
- %TEMP%\dWwkYoQE.bat
- %TEMP%\LeoYAsks.bat
- %TEMP%\LsUMkkcU.bat
- %TEMP%\AAIAgMYk.bat
- %TEMP%\bqYoQsgk.bat
- %TEMP%\zkgkYEss.bat
- %TEMP%\fIUcMEQA.bat
- %TEMP%\EsMkAccQ.bat
- %TEMP%\RMkUAQoI.bat
- %TEMP%\zQwYUckI.bat
- %TEMP%\wukAQQQY.bat
- %TEMP%\ZaoIUAwc.bat
- %TEMP%\hggEgsQU.bat
- <Текущая директория>\hQMC.exe
- C:\RCX2647.tmp
- <Текущая директория>\Nycc.ico
- <Текущая директория>\EIgA.exe
- C:\RCX24EE.tmp
- <Текущая директория>\Tkgw.ico
- <Текущая директория>\oYAm.exe
- C:\RCX280C.tmp
- <Текущая директория>\MSAc.ico
- <Текущая директория>\wAMG.exe
- <Текущая директория>\rKMA.ico
- <Текущая директория>\UAAM.exe
- %TEMP%\xgYgEIoQ.bat
- <Текущая директория>\piUo.ico
- <Текущая директория>\DsQK.exe
- C:\RCX1DCA.tmp
- C:\RCX22AC.tmp
- %TEMP%\pmUMwock.bat
- <Текущая директория>\KwEy.exe
- C:\RCX2154.tmp
- <Текущая директория>\EicE.ico
- <Текущая директория>\uoYK.exe
- C:\RCX307B.tmp
- <Текущая директория>\fQEQ.ico
- <Текущая директория>\BMAg.exe
- C:\RCX2F32.tmp
- <Текущая директория>\pGYU.ico
- <Текущая директория>\XgsK.exe
- C:\RCX3250.tmp
- <Текущая директория>\Yosw.ico
- <Текущая директория>\qAgA.exe
- <Текущая директория>\Taoc.ico
- C:\RCX2B97.tmp
- <Текущая директория>\BAkw.ico
- <Текущая директория>\xksA.exe
- C:\RCX2945.tmp
- <Текущая директория>\qOAM.ico
- <Текущая директория>\CMsk.exe
- C:\RCX2E66.tmp
- <Текущая директория>\QuYM.ico
- <Текущая директория>\vAwU.exe
- C:\RCX2D6C.tmp
- <Текущая директория>\uQsE.ico
- <Текущая директория>\xUYK.exe
- C:\RCXA561.tmp
- <Текущая директория>\WsIs.ico
- <Текущая директория>\dQcC.exe
- C:\RCXA1E7.tmp
- <Текущая директория>\fSUE.ico
- <Текущая директория>\JMgi.exe
- C:\RCXA774.tmp
- <Текущая директория>\ROUw.ico
- <Текущая директория>\LkcY.exe
- <Текущая директория>\PwAM.ico
- %TEMP%\tAYMYoUY.bat
- <Текущая директория>\JekA.ico
- C:\RCX9AC2.tmp
- %TEMP%\PSwcwosA.bat
- <Текущая директория>\jAgQ.exe
- <Текущая директория>\lEUA.exe
- C:\RCX9F37.tmp
- <Текущая директория>\seAE.ico
- <Текущая директория>\pQcm.exe
- C:\RCX9C78.tmp
- C:\RCXB242.tmp
- <Текущая директория>\XMQI.ico
- <Текущая директория>\cIEQ.exe
- C:\RCXAF93.tmp
- <Текущая директория>\VoAA.ico
- <Текущая директория>\KUEQ.exe
- C:\RCXB782.tmp
- <Текущая директория>\isYQ.ico
- <Текущая директория>\pAIa.exe
- C:\RCXB54F.tmp
- <Текущая директория>\AUEm.exe
- C:\RCXAA73.tmp
- %TEMP%\dakgogYY.bat
- <Текущая директория>\iQAU.exe
- C:\RCXA88E.tmp
- <Текущая директория>\FuYw.ico
- %TEMP%\SkkMEksY.bat
- <Текущая директория>\LWIk.ico
- C:\RCXAD9F.tmp
- <Текущая директория>\oiUs.ico
- <Текущая директория>\hQgU.exe
- C:\RCX81DD.tmp
- <Текущая директория>\oMEQ.ico
- <Текущая директория>\sUQK.exe
- C:\RCX8008.tmp
- <Текущая директория>\KkEA.ico
- <Текущая директория>\EQgm.exe
- C:\RCX85B5.tmp
- <Текущая директория>\Nmcg.ico
- <Текущая директория>\cwUM.exe
- C:\RCX83C1.tmp
- <Текущая директория>\IAcA.exe
- <SYSTEM32>\config\systemprofile\CaIocokM\GocwIYEU
- C:\ProgramData\kaog.txt
- C:\ProgramData\ZQIIosos\XiskIEYE.exe
- %HOMEPATH%\CaIocokM\GocwIYEU
- C:\ProgramData\sIAowgok\rSYkcwMw
- %TEMP%\file.vbs
- <Текущая директория>\Skss.ico
- %TEMP%\uMokIAcY.bat
- %TEMP%\uKsEAIYA.bat
- <Текущая директория>\<Имя вируса>
- <Текущая директория>\yOcQ.ico
- <Текущая директория>\hYIa.exe
- C:\RCX94A7.tmp
- <Текущая директория>\BkgA.ico
- <Текущая директория>\yQQY.exe
- C:\RCX995B.tmp
- <Текущая директория>\BOIw.ico
- <Текущая директория>\oQQa.exe
- C:\RCX96BB.tmp
- <Текущая директория>\MEYc.ico
- C:\RCX9227.tmp
- %TEMP%\DoMIMook.bat
- %TEMP%\sIkgkUIY.bat
- C:\RCX896E.tmp
- <Текущая директория>\PgYo.ico
- <Текущая директория>\qcce.exe
- <Текущая директория>\Dykc.ico
- <Текущая директория>\JEwO.exe
- C:\RCX8D65.tmp
- <Текущая директория>\LoIk.ico
- <Текущая директория>\aQYC.exe
- <Текущая директория>\ssEQ.ico
- <Текущая директория>\FoEU.exe
- C:\RCXDEF2.tmp
- <Текущая директория>\iQME.ico
- <Текущая директория>\awYA.exe
- C:\RCXDCBF.tmp
- <Текущая директория>\kcMY.ico
- <Текущая директория>\iUcW.exe
- C:\RCXE03A.tmp
- <Текущая директория>\ZuwU.ico
- <Текущая директория>\zAcU.exe
- <Текущая директория>\ykMg.ico
- C:\RCXD492.tmp
- <Текущая директория>\egMc.ico
- <Текущая директория>\ysEA.exe
- C:\RCXD349.tmp
- <Текущая директория>\QyQg.ico
- <Текущая директория>\ogcA.exe
- C:\RCXD926.tmp
- <Текущая директория>\aAgs.ico
- <Текущая директория>\UkcG.exe
- C:\RCXD770.tmp
- C:\RCXEEDF.tmp
- <Текущая директория>\tCQk.ico
- <Текущая директория>\vQAw.exe
- C:\RCXED0A.tmp
- <Текущая директория>\EUgA.ico
- <Текущая директория>\yMMc.exe
- C:\RCXF47D.tmp
- <Текущая директория>\eUgg.ico
- <Текущая директория>\Xocm.exe
- C:\RCXF19E.tmp
- <Текущая директория>\sMsS.exe
- <Текущая директория>\FCcI.ico
- <Текущая директория>\dQcw.exe
- %TEMP%\OKEQkUgs.bat
- C:\RCXE24E.tmp
- %TEMP%\eqEkYwcA.bat
- C:\RCXEAA9.tmp
- <Текущая директория>\Rakg.ico
- <Текущая директория>\CMUk.exe
- C:\RCXE848.tmp
- <Текущая директория>\tEsE.ico
- <Текущая директория>\yEwc.exe
- C:\RCXC147.tmp
- <Текущая директория>\wAUY.ico
- C:\RCXBEE6.tmp
- %TEMP%\YkwAsoMU.bat
- <Текущая директория>\yeME.ico
- <Текущая директория>\uEoW.exe
- C:\RCXC473.tmp
- <Текущая директория>\bkAY.ico
- <Текущая директория>\pkwO.exe
- <Текущая директория>\GIsW.exe
- <Текущая директория>\WIwC.exe
- C:\RCXBBF7.tmp
- <Текущая директория>\fsIY.ico
- <Текущая директория>\tUoy.exe
- C:\RCXBAAE.tmp
- %TEMP%\cmEEEAAo.bat
- <Текущая директория>\Lykk.ico
- C:\RCXBD8D.tmp
- <Текущая директория>\rYok.ico
- <Текущая директория>\vgow.exe
- %TEMP%\eGockAoA.bat
- <Текущая директория>\OaQo.ico
- C:\RCXCE77.tmp
- <Текущая директория>\jwsS.exe
- <Служебный элемент>
- <Текущая директория>\xkMg.ico
- <Текущая директория>\TYsi.exe
- %TEMP%\EYIAkIUg.bat
- <Текущая директория>\xwAE.exe
- C:\RCXD184.tmp
- <Текущая директория>\PyEQ.ico
- C:\RCXC87B.tmp
- <Текущая директория>\owMI.ico
- <Текущая директория>\iMwM.exe
- C:\RCXC5FA.tmp
- <Текущая директория>\NGUc.ico
- <Текущая директория>\kUoi.exe
- C:\RCXCC54.tmp
- <Текущая директория>\ruYU.ico
- <Текущая директория>\HQEU.exe
- C:\RCXCB1B.tmp
Удаляет следующие файлы:
- <Текущая директория>\AoEY.ico
- <Текущая директория>\igky.exe
- <Текущая директория>\nkII.ico
- <Текущая директория>\ZgAC.exe
- <Текущая директория>\nGwE.ico
- <Текущая директория>\woIO.exe
- <Текущая директория>\gAIa.exe
- <Текущая директория>\Uksw.exe
- <Текущая директория>\PUAM.ico
- %TEMP%\zscoowwQ.bat
- <Текущая директория>\gIgI.ico
- <Текущая директория>\UIQC.exe
- <Текущая директория>\iAIU.ico
- <Текущая директория>\mUEc.ico
- <Текущая директория>\NAIA.ico
- <Текущая директория>\LAcy.exe
- <Текущая директория>\akII.ico
- <Текущая директория>\DsQK.exe
- <Текущая директория>\vwQo.ico
- <Текущая директория>\Tgoa.exe
- <Текущая директория>\bcwE.exe
- <Текущая директория>\NUco.exe
- <Текущая директория>\YWsM.ico
- <Текущая директория>\MIwe.exe
- <Текущая директория>\bcgc.ico
- <Текущая директория>\UkoS.exe
- <Текущая директория>\QqkY.ico
- <Текущая директория>\FQoG.exe
- <Текущая директория>\bMkc.ico
- <Текущая директория>\McUk.exe
- <Текущая директория>\wasM.ico
- <Текущая директория>\vAoA.exe
- <Текущая директория>\WmME.ico
- <Текущая директория>\poYG.exe
- <Текущая директория>\wgMs.exe
- <Текущая директория>\FUQg.ico
- <Текущая директория>\FQYs.exe
- <Текущая директория>\YyoA.ico
- <Текущая директория>\WSwQ.ico
- %TEMP%\BcIMoMsU.bat
- <Текущая директория>\Rwgm.exe
- <Текущая директория>\nCoE.ico
- %TEMP%\VIsoQgQY.bat
- <Текущая директория>\AQos.exe
- <Текущая директория>\uwgo.ico
- <Текущая директория>\JSAo.ico
- <Текущая директория>\oIYW.exe
- <Текущая директория>\rGwc.ico
- <Текущая директория>\CQAG.exe
- <Текущая директория>\PgUI.exe
- <Текущая директория>\Vccw.ico
- <Текущая директория>\Ksgm.exe
- <Текущая директория>\ukAI.ico
- <Текущая директория>\AUMm.exe
- <Текущая директория>\FUcs.ico
- <Текущая директория>\piUo.ico
- %TEMP%\CiQUkQMk.bat
- %TEMP%\vCYoQsck.bat
- <Текущая директория>\pwEK.exe
- %TEMP%\EsMkAccQ.bat
- %TEMP%\XCoYkkkY.bat
- %TEMP%\uoAogAoE.bat
- <Текущая директория>\AyUg.ico
- <Текущая директория>\KIAS.exe
- <Текущая директория>\kAck.ico
- <Текущая директория>\XIAa.exe
- <Текущая директория>\wkko.exe
- <Текущая директория>\UGcE.ico
- %TEMP%\pmUMwock.bat
- %TEMP%\zkgkYEss.bat
- %TEMP%\dWwkYoQE.bat
- %TEMP%\IesYIwkE.bat
- %TEMP%\XKIwEEkc.bat
- %TEMP%\zAQgYEAs.bat
- %TEMP%\LiUkQkAw.bat
- %TEMP%\LeoYAsks.bat
- %TEMP%\EuIwsocc.bat
- %TEMP%\wukAQQQY.bat
- %TEMP%\ZaoIUAwc.bat
- %TEMP%\AAIAgMYk.bat
- %TEMP%\aYAsgYsQ.bat
- %TEMP%\zQwYUckI.bat
- %TEMP%\RMkUAQoI.bat
- <Текущая директория>\kWgM.ico
- <Текущая директория>\wAMG.exe
- <Текущая директория>\MSAc.ico
- <Текущая директория>\hQMC.exe
- <Текущая директория>\qOAM.ico
- <Текущая директория>\oYAm.exe
- <Текущая директория>\Tkgw.ico
- <Текущая директория>\Nycc.ico
- <Текущая директория>\EicE.ico
- %TEMP%\xgYgEIoQ.bat
- <Текущая директория>\UAAM.exe
- <Текущая директория>\EIgA.exe
- <Текущая директория>\rKMA.ico
- <Текущая директория>\KwEy.exe
- <Текущая директория>\xksA.exe
- <Текущая директория>\qAgA.exe
- <Текущая директория>\Yosw.ico
- <Текущая директория>\uoYK.exe
- %TEMP%\beMIkssM.bat
- <Текущая директория>\XgsK.exe
- <Текущая директория>\pGYU.ico
- <Текущая директория>\fQEQ.ico
- <Текущая директория>\QuYM.ico
- <Текущая директория>\vAwU.exe
- <Текущая директория>\BAkw.ico
- <Текущая директория>\BMAg.exe
- <Текущая директория>\Taoc.ico
- <Текущая директория>\CMsk.exe
- <Текущая директория>\EAoq.exe
- <Текущая директория>\FuYw.ico
- <Текущая директория>\JMgi.exe
- <Текущая директория>\fSUE.ico
- <Текущая директория>\oiUs.ico
- %TEMP%\dakgogYY.bat
- <Текущая директория>\iQAU.exe
- <Текущая директория>\LkcY.exe
- <Текущая директория>\dQcC.exe
- <Текущая директория>\PwAM.ico
- <Текущая директория>\lEUA.exe
- <Текущая директория>\ROUw.ico
- <Текущая директория>\xUYK.exe
- <Текущая директория>\WsIs.ico
- <Текущая директория>\hQgU.exe
- <Текущая директория>\tUoy.exe
- <Текущая директория>\ssEQ.ico
- <Текущая директория>\KUEQ.exe
- <Текущая директория>\rYok.ico
- <Текущая директория>\WIwC.exe
- <Текущая директория>\fsIY.ico
- <Текущая директория>\isYQ.ico
- <Текущая директория>\VoAA.ico
- <Текущая директория>\AUEm.exe
- <Текущая директория>\LWIk.ico
- <Текущая директория>\pAIa.exe
- <Текущая директория>\XMQI.ico
- <Текущая директория>\cIEQ.exe
- <Текущая директория>\seAE.ico
- %TEMP%\DoMIMook.bat
- <Текущая директория>\EQgm.exe
- <Текущая директория>\Nmcg.ico
- <Текущая директория>\LoIk.ico
- <Текущая директория>\qcce.exe
- <Текущая директория>\PgYo.ico
- <Текущая директория>\cwUM.exe
- <Текущая директория>\IAcA.exe
- <Текущая директория>\Skss.ico
- %TEMP%\uKsEAIYA.bat
- <Текущая директория>\oMEQ.ico
- <Текущая директория>\sUQK.exe
- <Текущая директория>\KkEA.ico
- <Текущая директория>\aQYC.exe
- <Текущая директория>\BOIw.ico
- %TEMP%\PSwcwosA.bat
- <Текущая директория>\oQQa.exe
- <Текущая директория>\pQcm.exe
- <Текущая директория>\JekA.ico
- <Текущая директория>\jAgQ.exe
- <Текущая директория>\MEYc.ico
- <Текущая директория>\BkgA.ico
- <Текущая директория>\JEwO.exe
- <Текущая директория>\Dykc.ico
- <Текущая директория>\hYIa.exe
- <Текущая директория>\yOcQ.ico
- <Текущая директория>\yQQY.exe
- <Текущая директория>\vgow.exe
- <Текущая директория>\kcMY.ico
- <Текущая директория>\zAcU.exe
- <Текущая директория>\ZuwU.ico
- <Текущая директория>\FCcI.ico
- %TEMP%\eqEkYwcA.bat
- <Текущая директория>\iUcW.exe
- %TEMP%\EYIAkIUg.bat
- <Текущая директория>\ykMg.ico
- <Текущая директория>\ogcA.exe
- <Текущая директория>\aAgs.ico
- <Текущая директория>\FoEU.exe
- <Текущая директория>\iQME.ico
- <Текущая директория>\awYA.exe
- <Текущая директория>\dQcw.exe
- <Текущая директория>\yMMc.exe
- <Текущая директория>\eUgg.ico
- <Текущая директория>\Xocm.exe
- <Текущая директория>\WoQs.ico
- <Текущая директория>\lYkk.exe
- <Текущая директория>\uQsE.ico
- <Текущая директория>\tCQk.ico
- <Текущая директория>\Rakg.ico
- <Текущая директория>\CMUk.exe
- <Текущая директория>\tEsE.ico
- <Текущая директория>\vQAw.exe
- <Текущая директория>\EUgA.ico
- <Текущая директория>\sMsS.exe
- <Текущая директория>\UkcG.exe
- <Текущая директория>\uEoW.exe
- <Текущая директория>\yeME.ico
- <Текущая директория>\pkwO.exe
- <Текущая директория>\owMI.ico
- <Текущая директория>\iMwM.exe
- <Текущая директория>\NGUc.ico
- <Текущая директория>\bkAY.ico
- <Текущая директория>\GIsW.exe
- <Текущая директория>\Lykk.ico
- %TEMP%\cmEEEAAo.bat
- %TEMP%\SkkMEksY.bat
- <Текущая директория>\yEwc.exe
- <Текущая директория>\wAUY.ico
- <Текущая директория>\HQEU.exe
- <Текущая директория>\TYsi.exe
- <Текущая директория>\xkMg.ico
- <Текущая директория>\xwAE.exe
- <Текущая директория>\egMc.ico
- <Текущая директория>\ysEA.exe
- <Текущая директория>\QyQg.ico
- <Текущая директория>\OaQo.ico
- <Текущая директория>\PyEQ.ico
- <Текущая директория>\kUoi.exe
- <Текущая директория>\ruYU.ico
- %TEMP%\YkwAsoMU.bat
- %TEMP%\eGockAoA.bat
- <Текущая директория>\jwsS.exe
Перемещает следующие файлы:
- C:\RCXAB9.tmp в <Текущая директория>\oIYW.exe
- C:\RCXD49.tmp в <Текущая директория>\FQoG.exe
- C:\RCX961.tmp в <Текущая директория>\AQos.exe
- C:\RCX54A.tmp в <Текущая директория>\AUMm.exe
- C:\RCX6D1.tmp в <Текущая директория>\CQAG.exe
- C:\RCXEA1.tmp в <Текущая директория>\Uksw.exe
- C:\RCX1395.tmp в <Текущая директория>\woIO.exe
- C:\RCX1616.tmp в <Текущая директория>\ZgAC.exe
- C:\RCX126C.tmp в <Текущая директория>\igky.exe
- C:\RCX1019.tmp в <Текущая директория>\UIQC.exe
- C:\RCX1181.tmp в <Текущая директория>\gAIa.exe
- C:\RCX430.tmp в <Текущая директория>\PgUI.exe
- C:\RCXF672.tmp в <Текущая директория>\EAoq.exe
- C:\RCXF79B.tmp в <Текущая директория>\FQYs.exe
- C:\RCXF51A.tmp в <Текущая директория>\lYkk.exe
- C:\RCXF19E.tmp в <Текущая директория>\Xocm.exe
- C:\RCXF47D.tmp в <Текущая директория>\yMMc.exe
- C:\RCXF932.tmp в <Текущая директория>\Rwgm.exe
- C:\RCX28.tmp в <Текущая директория>\vAoA.exe
- C:\RCX1FD.tmp в <Текущая директория>\Ksgm.exe
- C:\RCXFEA1.tmp в <Текущая директория>\poYG.exe
- C:\RCXFB93.tmp в <Текущая директория>\wgMs.exe
- C:\RCXFCEB.tmp в <Текущая директория>\McUk.exe
- C:\RCX176E.tmp в <Текущая директория>\MIwe.exe
- C:\RCX2F32.tmp в <Текущая директория>\BMAg.exe
- C:\RCX307B.tmp в <Текущая директория>\uoYK.exe
- C:\RCX2E66.tmp в <Текущая директория>\CMsk.exe
- C:\RCX2B97.tmp в <Текущая директория>\xksA.exe
- C:\RCX2D6C.tmp в <Текущая директория>\vAwU.exe
- C:\RCX3250.tmp в <Текущая директория>\qAgA.exe
- C:\RCX3937.tmp в <Текущая директория>\wkko.exe
- C:\RCX3BA8.tmp в <Текущая директория>\pwEK.exe
- C:\RCX387A.tmp в <Текущая директория>\KIAS.exe
- C:\RCX3415.tmp в <Текущая директория>\XgsK.exe
- C:\RCX35BB.tmp в <Текущая директория>\XIAa.exe
- C:\RCX2945.tmp в <Текущая директория>\oYAm.exe
- C:\RCX1BE5.tmp в <Текущая директория>\LAcy.exe
- C:\RCX1CC0.tmp в <Текущая директория>\Tgoa.exe
- C:\RCX1B57.tmp в <Текущая директория>\bcwE.exe
- C:\RCX18C6.tmp в <Текущая директория>\NUco.exe
- C:\RCX1A0F.tmp в <Текущая директория>\UkoS.exe
- C:\RCX1DCA.tmp в <Текущая директория>\DsQK.exe
- C:\RCX2647.tmp в <Текущая директория>\hQMC.exe
- C:\RCX280C.tmp в <Текущая директория>\wAMG.exe
- C:\RCX24EE.tmp в <Текущая директория>\EIgA.exe
- C:\RCX2154.tmp в <Текущая директория>\UAAM.exe
- C:\RCX22AC.tmp в <Текущая директория>\KwEy.exe
- C:\RCXA774.tmp в <Текущая директория>\LkcY.exe
- C:\RCXA88E.tmp в <Текущая директория>\JMgi.exe
- C:\RCXA561.tmp в <Текущая директория>\xUYK.exe
- C:\RCX9F37.tmp в <Текущая директория>\lEUA.exe
- C:\RCXA1E7.tmp в <Текущая директория>\dQcC.exe
- C:\RCXAA73.tmp в <Текущая директория>\iQAU.exe
- C:\RCXB54F.tmp в <Текущая директория>\pAIa.exe
- C:\RCXB782.tmp в <Текущая директория>\KUEQ.exe
- C:\RCXB242.tmp в <Текущая директория>\cIEQ.exe
- C:\RCXAD9F.tmp в <Текущая директория>\hQgU.exe
- C:\RCXAF93.tmp в <Текущая директория>\AUEm.exe
- C:\RCX9C78.tmp в <Текущая директория>\pQcm.exe
- C:\RCX85B5.tmp в <Текущая директория>\EQgm.exe
- C:\RCX896E.tmp в <Текущая директория>\qcce.exe
- C:\RCX83C1.tmp в <Текущая директория>\cwUM.exe
- C:\RCX8008.tmp в <Текущая директория>\IAcA.exe
- C:\RCX81DD.tmp в <Текущая директория>\sUQK.exe
- C:\RCX8D65.tmp в <Текущая директория>\aQYC.exe
- C:\RCX995B.tmp в <Текущая директория>\oQQa.exe
- C:\RCX9AC2.tmp в <Текущая директория>\jAgQ.exe
- C:\RCX96BB.tmp в <Текущая директория>\hYIa.exe
- C:\RCX9227.tmp в <Текущая директория>\JEwO.exe
- C:\RCX94A7.tmp в <Текущая директория>\yQQY.exe
- C:\RCXBAAE.tmp в <Текущая директория>\tUoy.exe
- C:\RCXDCBF.tmp в <Текущая директория>\awYA.exe
- C:\RCXDEF2.tmp в <Текущая директория>\FoEU.exe
- C:\RCXD926.tmp в <Текущая директория>\ogcA.exe
- C:\RCXD492.tmp в <Текущая директория>\ysEA.exe
- C:\RCXD770.tmp в <Текущая директория>\UkcG.exe
- C:\RCXE03A.tmp в <Текущая директория>\zAcU.exe
- C:\RCXED0A.tmp в <Текущая директория>\sMsS.exe
- C:\RCXEEDF.tmp в <Текущая директория>\vQAw.exe
- C:\RCXEAA9.tmp в <Текущая директория>\CMUk.exe
- C:\RCXE24E.tmp в <Текущая директория>\iUcW.exe
- C:\RCXE848.tmp в <Текущая директория>\dQcw.exe
- C:\RCXD349.tmp в <Текущая директория>\TYsi.exe
- C:\RCXC147.tmp в <Текущая директория>\yEwc.exe
- C:\RCXC473.tmp в <Текущая директория>\pkwO.exe
- C:\RCXBEE6.tmp в <Текущая директория>\GIsW.exe
- C:\RCXBBF7.tmp в <Текущая директория>\WIwC.exe
- C:\RCXBD8D.tmp в <Текущая директория>\vgow.exe
- C:\RCXC5FA.tmp в <Текущая директория>\uEoW.exe
- C:\RCXCE77.tmp в <Текущая директория>\jwsS.exe
- C:\RCXD184.tmp в <Текущая директория>\xwAE.exe
- C:\RCXCC54.tmp в <Текущая директория>\kUoi.exe
- C:\RCXC87B.tmp в <Текущая директория>\iMwM.exe
- C:\RCXCB1B.tmp в <Текущая директория>\HQEU.exe
Самоудаляется.
Сетевая активность:
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK google.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Microsoft Windows'
- ClassName: '' WindowName: 'GocwIYEU.exe'
- ClassName: '' WindowName: 'rSYkcwMw.exe'
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
