Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,C:\ProgramData\sIAowgok\rSYkcwMw.exe,'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'rSYkcwMw.exe' = 'C:\ProgramData\sIAowgok\rSYkcwMw.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'GocwIYEU.exe' = '%HOMEPATH%\CaIocokM\GocwIYEU.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\yoYkgMRX] 'Start' = '00000002'
Заражает следующие исполняемые файлы:
- C:\ProgramData\Package Cache\{6c95b50e-cb5a-4a1f-a7b4-8a6004f8dd6a}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{f0080ca2-80ae-4958-b6eb-e8fa916d744a}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{615bc16d-60f5-482e-91b3-b51d8130963b}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{01db25f3-1b76-4d97-88c8-1c90634d88fb}\vcredist_x86.exe
- C:\ProgramData\Package Cache\{2af972c7-13b0-4978-92a8-fee26a4fb4e9}\vcredist_x86.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- 'C:\ProgramData\ZQIIosos\XiskIEYE.exe'
- 'C:\ProgramData\sIAowgok\rSYkcwMw.exe'
- '%HOMEPATH%\CaIocokM\GocwIYEU.exe'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' 0xcb8 <Имя вируса>.exe
- '<SYSTEM32>\conhost.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\reg.exe' 0xa64 cscript.exe
- '<SYSTEM32>\cscript.exe' /c ""%TEMP%\RIgkgMUE.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\conhost.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\reg.exe' /pid=0x5d0 /log
- '<SYSTEM32>\cscript.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\cscript.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
- '<SYSTEM32>\cscript.exe' /c ""%TEMP%\vkkkwMgE.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' 0x528 <Имя вируса>.exe
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\YGUAooUI.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\reg.exe' 0x93c <Имя вируса>.exe
- '<SYSTEM32>\cscript.exe' <LS_APPDATA>\Temp/file.vbs
- '<SYSTEM32>\conhost.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- '<SYSTEM32>\reg.exe' /pid=0x268 /log
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
- '<SYSTEM32>\reg.exe' 0xa84 <Имя вируса>.exe
- '<SYSTEM32>\conhost.exe'
- '<SYSTEM32>\conhost.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
- '<SYSTEM32>\reg.exe' /pid=0x680 /log
- '<SYSTEM32>\conhost.exe' /c "<Текущая директория>\<Имя вируса>"
- '<SYSTEM32>\conhost.exe' /c ""%TEMP%\iWgMYgEA.bat" "<Полный путь к вирусу>""
- '<SYSTEM32>\reg.exe' /pid=0x944 /log
Изменения в файловой системе:
Создает следующие файлы:
- C:\RCX1028.tmp
- <Текущая директория>\sKgU.ico
- <Текущая директория>\wIoO.exe
- C:\RCXE43.tmp
- <Текущая директория>\owsk.ico
- <Текущая директория>\cokG.exe
- C:\RCX1661.tmp
- <Текущая директория>\XMQs.ico
- <Текущая директория>\eggq.exe
- C:\RCX14DA.tmp
- <Текущая директория>\kkQA.ico
- <Текущая директория>\IAMe.exe
- <Текущая директория>\BIsQ.exe
- C:\RCX809.tmp
- <Текущая директория>\Asok.ico
- %TEMP%\YGUAooUI.bat
- <Текущая директория>\rIwg.ico
- %TEMP%\oEEcAcsY.bat
- <Текущая директория>\fogw.exe
- <Текущая директория>\Xsgs.exe
- C:\RCXCBC.tmp
- <Текущая директория>\OWwc.ico
- <Текущая директория>\gQoa.exe
- C:\RCXBB2.tmp
- <Текущая директория>\DIIs.ico
- <Текущая директория>\JcsU.exe
- C:\RCX20C3.tmp
- <Текущая директория>\JYQI.ico
- %TEMP%\VCkkwEgE.bat
- C:\RCX1F6B.tmp
- <Текущая директория>\MCwU.ico
- <Текущая директория>\qAsi.exe
- C:\RCX246D.tmp
- <Текущая директория>\bgMA.ico
- <Текущая директория>\kcoi.exe
- C:\RCX2315.tmp
- <Текущая директория>\OCsE.ico
- <Текущая директория>\AUki.exe
- C:\RCX196F.tmp
- <Текущая директория>\NQEA.ico
- <Текущая директория>\dcMM.exe
- C:\RCX179A.tmp
- <Текущая директория>\aywg.ico
- <Текущая директория>\aIUk.exe
- <Текущая директория>\zIUy.exe
- C:\RCX1CAC.tmp
- <Текущая директория>\migc.ico
- C:\RCX1B82.tmp
- <Текущая директория>\lAYY.ico
- %TEMP%\MGQQUEIA.bat
- <Текущая директория>\yuQI.ico
- <Текущая директория>\wAMw.exe
- C:\RCXEA12.tmp
- <Текущая директория>\OAoI.ico
- <Текущая директория>\oQoy.exe
- C:\RCXE531.tmp
- <Текущая директория>\VkUA.ico
- <Текущая директория>\sgkm.exe
- C:\RCXECB3.tmp
- <Текущая директория>\UWEk.ico
- <Текущая директория>\mkQk.exe
- C:\RCXEB8A.tmp
- %TEMP%\YKssooEc.bat
- <Текущая директория>\iIos.exe
- C:\RCXDC87.tmp
- %TEMP%\jOkAwYIg.bat
- <Текущая директория>\TwwE.exe
- C:\RCXDB5E.tmp
- <Текущая директория>\pgUQ.ico
- <Текущая директория>\AiQQ.ico
- <Текущая директория>\GsMs.exe
- C:\RCXE159.tmp
- <Текущая директория>\EwII.ico
- <Текущая директория>\noYI.exe
- C:\RCXDED9.tmp
- <Текущая директория>\owYA.ico
- <Текущая директория>\Jokw.exe
- C:\RCXFBB7.tmp
- <Текущая директория>\FSIc.ico
- <Текущая директория>\zYIG.exe
- C:\RCXFA30.tmp
- <Текущая директория>\BkAQ.ico
- <Текущая директория>\MgEg.exe
- C:\RCX672.tmp
- <Текущая директория>\puYM.ico
- <Текущая директория>\xEAM.exe
- C:\RCXFD2E.tmp
- C:\RCXF906.tmp
- <Текущая директория>\uiUU.ico
- <Текущая директория>\IMMm.exe
- C:\RCXF03E.tmp
- <Текущая директория>\AIIk.ico
- <Текущая директория>\OIci.exe
- C:\RCXEEB7.tmp
- C:\RCXF712.tmp
- <Текущая директория>\pSIg.ico
- <Текущая директория>\WMIm.exe
- %TEMP%\fqAwQcsw.bat
- <Текущая директория>\PQoc.exe
- %TEMP%\dwIwUUwE.bat
- <Текущая директория>\sgck.exe
- <Текущая директория>\oMYW.exe
- C:\RCX5949.tmp
- <Текущая директория>\Fsgw.ico
- <Текущая директория>\TUsw.exe
- C:\RCX561C.tmp
- <Текущая директория>\IkUA.ico
- <Текущая директория>\howc.exe
- C:\RCX5E59.tmp
- <Текущая директория>\pkwk.ico
- <Текущая директория>\jEIW.exe
- C:\RCX5A91.tmp
- <Текущая директория>\oGcA.ico
- <Текущая директория>\EOgE.ico
- <Текущая директория>\joAw.ico
- <Текущая директория>\OcgK.exe
- C:\RCX50DC.tmp
- %TEMP%\JyAgwwgI.bat
- <Текущая директория>\lowC.exe
- C:\RCX4D42.tmp
- <Текущая директория>\VMkY.ico
- <Текущая директория>\Locm.exe
- C:\RCX54C4.tmp
- <Текущая директория>\Pisk.ico
- <Текущая директория>\ZwMc.exe
- C:\RCX539B.tmp
- <Текущая директория>\Vykg.ico
- <Текущая директория>\hgYU.exe
- C:\RCX6AFD.tmp
- <Текущая директория>\NMsE.ico
- <Текущая директория>\gcgU.exe
- C:\RCX6A21.tmp
- <Текущая директория>\jIwY.ico
- <Текущая директория>\NsMW.exe
- C:\RCX6DCC.tmp
- <Текущая директория>\BMQw.ico
- <Текущая директория>\jcIA.exe
- C:\RCX6C55.tmp
- C:\RCX680E.tmp
- %TEMP%\vkkkwMgE.bat
- <Текущая директория>\VSwI.ico
- <Текущая директория>\scUW.exe
- %TEMP%\kCMwMYoY.bat
- <Текущая директория>\jEAQ.exe
- C:\RCX5FC1.tmp
- C:\RCX6465.tmp
- <Текущая директория>\UUIY.ico
- <Текущая директория>\ZUEU.exe
- C:\RCX62ED.tmp
- <Текущая директория>\ggMM.ico
- <Текущая директория>\bscy.exe
- C:\RCX3065.tmp
- <Текущая директория>\gIwM.ico
- <Текущая директория>\Ckgi.exe
- <Текущая директория>\dGUM.ico
- <Текущая директория>\JcIY.exe
- %TEMP%\RGEIIEwY.bat
- <Текущая директория>\PUEa.exe
- C:\RCX3547.tmp
- <Текущая директория>\zacs.ico
- C:\RCX3259.tmp
- %TEMP%\OcAAoMUs.bat
- <Текущая директория>\WsMY.ico
- C:\RCX2CAC.tmp
- C:\RCX28C3.tmp
- <Текущая директория>\WGgc.ico
- <Текущая директория>\OcEG.exe
- C:\RCX275B.tmp
- <Текущая директория>\iYAM.ico
- <Текущая директория>\AsoE.exe
- C:\RCX2B83.tmp
- <Текущая директория>\PCkY.ico
- <Текущая директория>\bosE.exe
- C:\RCX2A59.tmp
- <Текущая директория>\VsAI.ico
- <Текущая директория>\qgsm.exe
- C:\RCX47B4.tmp
- <Текущая директория>\DEIo.ico
- <Текущая директория>\NkMw.exe
- C:\RCX4533.tmp
- <Текущая директория>\uSsg.ico
- <Текущая директория>\tIUg.exe
- <Текущая директория>\Rggo.exe
- C:\RCX4B1F.tmp
- <Текущая директория>\YQIc.ico
- C:\RCX48ED.tmp
- <Текущая директория>\aMcc.ico
- %TEMP%\lqYQwogc.bat
- <Текущая директория>\cwcc.exe
- <Текущая директория>\EUYc.exe
- C:\RCX3FB4.tmp
- <Текущая директория>\pYYA.ico
- <Текущая директория>\igAo.exe
- C:\RCX3CB7.tmp
- <Текущая директория>\BikI.ico
- <Текущая директория>\ZIsq.exe
- C:\RCX43AC.tmp
- <Текущая директория>\egQw.ico
- <Текущая директория>\pQYE.exe
- C:\RCX4189.tmp
- <Текущая директория>\LiUs.ico
- <Текущая директория>\pkAU.ico
- <Текущая директория>\CccG.exe
- C:\RCX6F19.tmp
- <Текущая директория>\pgAo.ico
- <Текущая директория>\qEkQ.exe
- C:\RCX6D82.tmp
- <Текущая директория>\Esos.ico
- <Текущая директория>\fkgY.exe
- C:\RCX740B.tmp
- <Текущая директория>\bOgc.ico
- <Текущая директория>\QEky.exe
- C:\RCX6FB6.tmp
- <Текущая директория>\ooEQ.ico
- <Текущая директория>\UGoA.ico
- <Текущая директория>\FuIY.ico
- <Текущая директория>\sMke.exe
- C:\RCX6813.tmp
- <Текущая директория>\AiMk.ico
- <Текущая директория>\aosc.exe
- C:\RCX665D.tmp
- <Текущая директория>\MCQY.ico
- <Текущая директория>\qgES.exe
- C:\RCX6C88.tmp
- <Текущая директория>\MQMQ.ico
- <Текущая директория>\DAMO.exe
- C:\RCX6A65.tmp
- <Текущая директория>\iicI.ico
- <Текущая директория>\KMUy.exe
- C:\RCX7E1F.tmp
- <Текущая директория>\OIQU.ico
- <Текущая директория>\Swwu.exe
- C:\RCX7BDC.tmp
- C:\RCX80AF.tmp
- <Текущая директория>\RQos.ico
- <Текущая директория>\xgMq.exe
- <Служебный элемент>
- <Текущая директория>\qsUc.ico
- <Текущая директория>\SMgY.exe
- %TEMP%\FskMYMEQ.bat
- <Текущая директория>\GEEO.exe
- C:\RCX769C.tmp
- <Текущая директория>\jQwE.ico
- <Текущая директория>\JYsE.exe
- C:\RCX7582.tmp
- <Текущая директория>\VGoM.ico
- <Текущая директория>\IkUo.ico
- <Текущая директория>\fgsQ.exe
- C:\RCX7A27.tmp
- <Текущая директория>\BMci.exe
- %TEMP%\OUIoYoYA.bat
- C:\RCX7871.tmp
- <Текущая директория>\VgAO.exe
- C:\RCX5265.tmp
- <Текущая директория>\tWsc.ico
- <Текущая директория>\XIgu.exe
- C:\RCX4F68.tmp
- <Текущая директория>\aogc.ico
- <Текущая директория>\vkUE.exe
- C:\RCX55C1.tmp
- <Текущая директория>\SGYA.ico
- <Текущая директория>\ZIcg.exe
- C:\RCX5350.tmp
- <Текущая директория>\uGAY.ico
- <Текущая директория>\xSAU.ico
- C:\ProgramData\kaog.txt
- <SYSTEM32>\config\systemprofile\CaIocokM\GocwIYEU
- %TEMP%\hUgcQUAE.bat
- %HOMEPATH%\CaIocokM\GocwIYEU
- C:\ProgramData\sIAowgok\rSYkcwMw
- C:\ProgramData\ZQIIosos\XiskIEYE.exe
- <Текущая директория>\cWUo.ico
- <Текущая директория>\bIMk.exe
- C:\RCX4A67.tmp
- <Текущая директория>\<Имя вируса>
- %TEMP%\cyMwQMkw.bat
- %TEMP%\file.vbs
- <Текущая директория>\Dscc.ico
- <Текущая директория>\dwcs.exe
- C:\RCX6207.tmp
- <Текущая директория>\PYQS.exe
- C:\RCX5F86.tmp
- %TEMP%\OcIcscIc.bat
- <Текущая директория>\vsMg.ico
- <Текущая директория>\EAQs.exe
- C:\RCX64D6.tmp
- <Текущая директория>\XQkU.ico
- <Текущая директория>\fcQi.exe
- C:\RCX635F.tmp
- <Текущая директория>\aqAw.ico
- <Текущая директория>\hMMA.exe
- C:\RCX5CD5.tmp
- <Текущая директория>\PKoo.ico
- <Текущая директория>\qUEg.exe
- C:\RCX5813.tmp
- <Текущая директория>\vckw.ico
- <Текущая директория>\OEMy.exe
- C:\RCX5DFF.tmp
- %TEMP%\TAMkEAgA.bat
- <Текущая директория>\QcQi.exe
- C:\RCX5D62.tmp
- <Текущая директория>\Ykwo.ico
- C:\RCX8725.tmp
- <Текущая директория>\wAgc.ico
- <Текущая директория>\mIIg.exe
- C:\RCXC209.tmp
- <Текущая директория>\WYgY.ico
- <Текущая директория>\YkoU.exe
- C:\RCXC0B0.tmp
- <Текущая директория>\BuEY.ico
- <Текущая директория>\jAoE.exe
- C:\RCXC3FE.tmp
- <Текущая директория>\DoEU.ico
- <Текущая директория>\ZowE.exe
- C:\RCXC322.tmp
- C:\RCXBBB0.tmp
- <Текущая директория>\lOkM.ico
- <Текущая директория>\PsIo.exe
- C:\RCXB420.tmp
- <Текущая директория>\jUMy.exe
- C:\RCXACBF.tmp
- %TEMP%\vAskEEog.bat
- %TEMP%\nSEwIIAQ.bat
- <Текущая директория>\NMQw.ico
- <Текущая директория>\JcsQ.exe
- <Текущая директория>\KQsg.ico
- <Текущая директория>\JsIi.exe
- C:\RCXB7F8.tmp
- <Текущая директория>\IuYc.ico
- <Текущая директория>\LAAi.exe
- C:\RCXD34F.tmp
- <Текущая директория>\hEwQ.ico
- <Текущая директория>\QYQs.exe
- C:\RCXCFC6.tmp
- <Текущая директория>\emEU.ico
- <Текущая директория>\vokw.exe
- C:\RCXD9D7.tmp
- <Текущая директория>\NmcI.ico
- <Текущая директория>\gMIe.exe
- C:\RCXD69B.tmp
- C:\RCXCE1F.tmp
- %TEMP%\mWAwkIwA.bat
- <Текущая директория>\BCwY.ico
- <Текущая директория>\VYYC.exe
- <Текущая директория>\rcUc.ico
- <Текущая директория>\JMge.exe
- C:\RCXC5B4.tmp
- C:\RCXCB8F.tmp
- <Текущая директория>\GwEg.ico
- <Текущая директория>\WMEk.exe
- C:\RCXCA08.tmp
- <Текущая директория>\UaEE.ico
- %TEMP%\RIgkgMUE.bat
- C:\RCX909C.tmp
- <Текущая директория>\EYcM.ico
- <Текущая директория>\WkAE.exe
- %TEMP%\NWMwkQAg.bat
- <Текущая директория>\hkEg.ico
- <Текущая директория>\KYMO.exe
- C:\RCX956F.tmp
- <Текущая директория>\eiAU.ico
- <Текущая директория>\iMoe.exe
- C:\RCX934C.tmp
- <Текущая директория>\bGEs.ico
- <Текущая директория>\IwQW.exe
- C:\RCX8DAF.tmp
- <Текущая директория>\eMUo.ico
- <Текущая директория>\UYkk.exe
- C:\RCX88EC.tmp
- <Текущая директория>\KEwI.ico
- <Текущая директория>\LsUm.exe
- C:\RCX8810.tmp
- C:\RCX8C76.tmp
- <Текущая директория>\msUI.ico
- <Текущая директория>\YwwO.exe
- <Текущая директория>\jYAQ.ico
- %TEMP%\jEMkcUsk.bat
- <Текущая директория>\OcIC.exe
- <Текущая директория>\XYAM.exe
- C:\RCXA31B.tmp
- <Текущая директория>\TQgw.ico
- <Текущая директория>\PwEq.exe
- C:\RCXA0F8.tmp
- <Текущая директория>\iqAw.ico
- <Текущая директория>\mMIk.exe
- C:\RCXA723.tmp
- <Текущая директория>\MOgY.ico
- <Текущая директория>\cYom.exe
- C:\RCXA454.tmp
- <Текущая директория>\BKQQ.ico
- <Текущая директория>\RekM.ico
- C:\RCX9AAE.tmp
- <Текущая директория>\oCoI.ico
- <Текущая директория>\Dccy.exe
- C:\RCX9918.tmp
- <Текущая директория>\rKsQ.ico
- <Текущая директория>\xAwI.exe
- <Текущая директория>\cAou.exe
- C:\RCX9E0A.tmp
- %TEMP%\iWgMYgEA.bat
- C:\RCX9C64.tmp
- %TEMP%\bIkAoccs.bat
- <Текущая директория>\lkMM.ico
Удаляет следующие файлы:
- <Текущая директория>\sKgU.ico
- <Текущая директория>\wIoO.exe
- <Текущая директория>\owsk.ico
- <Текущая директория>\cokG.exe
- <Текущая директория>\XMQs.ico
- <Текущая директория>\eggq.exe
- <Текущая директория>\kkQA.ico
- <Текущая директория>\IAMe.exe
- <Текущая директория>\Asok.ico
- <Текущая директория>\gQoa.exe
- <Текущая директория>\rIwg.ico
- <Текущая директория>\fogw.exe
- <Текущая директория>\OWwc.ico
- <Текущая директория>\BIsQ.exe
- <Текущая директория>\DIIs.ico
- <Текущая директория>\Xsgs.exe
- <Текущая директория>\MCwU.ico
- <Текущая директория>\JcsU.exe
- <Текущая директория>\migc.ico
- <Текущая директория>\AUki.exe
- <Текущая директория>\OCsE.ico
- <Текущая директория>\qAsi.exe
- <Текущая директория>\JYQI.ico
- <Текущая директория>\kcoi.exe
- <Текущая директория>\NQEA.ico
- <Текущая директория>\dcMM.exe
- <Текущая директория>\aywg.ico
- <Текущая директория>\aIUk.exe
- <Текущая директория>\zIUy.exe
- %TEMP%\YGUAooUI.bat
- %TEMP%\MGQQUEIA.bat
- <Текущая директория>\lAYY.ico
- %TEMP%\oEEcAcsY.bat
- <Текущая директория>\wAMw.exe
- <Текущая директория>\UWEk.ico
- <Текущая директория>\oQoy.exe
- <Текущая директория>\yuQI.ico
- <Текущая директория>\sgkm.exe
- <Текущая директория>\AIIk.ico
- <Текущая директория>\mkQk.exe
- <Текущая директория>\VkUA.ico
- %TEMP%\jOkAwYIg.bat
- <Текущая директория>\EwII.ico
- <Текущая директория>\pgUQ.ico
- <Текущая директория>\iIos.exe
- <Текущая директория>\GsMs.exe
- <Текущая директория>\OAoI.ico
- <Текущая директория>\noYI.exe
- <Текущая директория>\AiQQ.ico
- <Текущая директория>\owYA.ico
- <Текущая директория>\Jokw.exe
- <Текущая директория>\zYIG.exe
- %TEMP%\YKssooEc.bat
- <Текущая директория>\BkAQ.ico
- <Текущая директория>\MgEg.exe
- <Текущая директория>\puYM.ico
- <Текущая директория>\xEAM.exe
- <Текущая директория>\IMMm.exe
- %TEMP%\fqAwQcsw.bat
- <Текущая директория>\OIci.exe
- <Текущая директория>\uiUU.ico
- <Текущая директория>\WMIm.exe
- <Текущая директория>\FSIc.ico
- <Текущая директория>\PQoc.exe
- <Текущая директория>\pSIg.ico
- <Текущая директория>\TUsw.exe
- <Текущая директория>\IkUA.ico
- <Текущая директория>\Locm.exe
- <Текущая директория>\EOgE.ico
- <Текущая директория>\jEIW.exe
- <Текущая директория>\oGcA.ico
- <Текущая директория>\oMYW.exe
- <Текущая директория>\Fsgw.ico
- <Текущая директория>\lowC.exe
- <Текущая директория>\joAw.ico
- <Текущая директория>\Rggo.exe
- <Текущая директория>\YQIc.ico
- <Текущая директория>\ZwMc.exe
- <Текущая директория>\VMkY.ico
- <Текущая директория>\OcgK.exe
- <Текущая директория>\Pisk.ico
- <Текущая директория>\NMsE.ico
- <Текущая директория>\gcgU.exe
- <Текущая директория>\UUIY.ico
- <Текущая директория>\ZUEU.exe
- <Текущая директория>\BMQw.ico
- <Текущая директория>\jcIA.exe
- <Текущая директория>\Vykg.ico
- <Текущая директория>\hgYU.exe
- <Текущая директория>\pkwk.ico
- <Текущая директория>\jEAQ.exe
- <Текущая директория>\howc.exe
- %TEMP%\kCMwMYoY.bat
- <Текущая директория>\ggMM.ico
- <Текущая директория>\bscy.exe
- <Текущая директория>\VSwI.ico
- <Текущая директория>\scUW.exe
- <Текущая директория>\aMcc.ico
- <Текущая директория>\dGUM.ico
- <Текущая директория>\JcIY.exe
- <Текущая директория>\PCkY.ico
- <Текущая директория>\bosE.exe
- <Текущая директория>\Ckgi.exe
- <Текущая директория>\WsMY.ico
- %TEMP%\RGEIIEwY.bat
- <Текущая директория>\gIwM.ico
- <Текущая директория>\iYAM.ico
- <Текущая директория>\AsoE.exe
- <Текущая директория>\bgMA.ico
- <Текущая директория>\sgck.exe
- <Текущая директория>\VsAI.ico
- <Текущая директория>\qgsm.exe
- <Текущая директория>\WGgc.ico
- <Текущая директория>\OcEG.exe
- <Текущая директория>\cwcc.exe
- <Текущая директория>\uSsg.ico
- <Текущая директория>\ZIsq.exe
- <Текущая директория>\egQw.ico
- <Текущая директория>\NkMw.exe
- %TEMP%\lqYQwogc.bat
- <Текущая директория>\tIUg.exe
- <Текущая директория>\DEIo.ico
- <Текущая директория>\igAo.exe
- <Текущая директория>\BikI.ico
- <Текущая директория>\PUEa.exe
- <Текущая директория>\zacs.ico
- <Текущая директория>\pQYE.exe
- <Текущая директория>\LiUs.ico
- <Текущая директория>\EUYc.exe
- <Текущая директория>\pYYA.ico
- <Текущая директория>\fkgY.exe
- <Текущая директория>\bOgc.ico
- <Текущая директория>\QEky.exe
- <Текущая директория>\ooEQ.ico
- <Текущая директория>\GEEO.exe
- <Текущая директория>\jQwE.ico
- <Текущая директория>\JYsE.exe
- <Текущая директория>\VGoM.ico
- <Текущая директория>\qgES.exe
- <Текущая директория>\UGoA.ico
- <Текущая директория>\DAMO.exe
- <Текущая директория>\MCQY.ico
- <Текущая директория>\CccG.exe
- <Текущая директория>\pgAo.ico
- <Текущая директория>\qEkQ.exe
- <Текущая директория>\Esos.ico
- <Текущая директория>\RQos.ico
- <Текущая директория>\xgMq.exe
- <Текущая директория>\qsUc.ico
- <Текущая директория>\SMgY.exe
- <Текущая директория>\eMUo.ico
- <Текущая директория>\UYkk.exe
- <Текущая директория>\KEwI.ico
- <Текущая директория>\LsUm.exe
- <Текущая директория>\IkUo.ico
- <Текущая директория>\fgsQ.exe
- <Текущая директория>\BMci.exe
- %TEMP%\OUIoYoYA.bat
- <Текущая директория>\iicI.ico
- <Текущая директория>\KMUy.exe
- <Текущая директория>\OIQU.ico
- <Текущая директория>\Swwu.exe
- <Текущая директория>\MQMQ.ico
- <Текущая директория>\vkUE.exe
- <Текущая директория>\SGYA.ico
- <Текущая директория>\ZIcg.exe
- <Текущая директория>\uGAY.ico
- <Текущая директория>\hMMA.exe
- <Текущая директория>\PKoo.ico
- <Текущая директория>\qUEg.exe
- <Текущая директория>\vckw.ico
- <Текущая директория>\bIMk.exe
- <Текущая директория>\xSAU.ico
- %TEMP%\hUgcQUAE.bat
- <Текущая директория>\cWUo.ico
- <Текущая директория>\VgAO.exe
- <Текущая директория>\tWsc.ico
- <Текущая директория>\XIgu.exe
- <Текущая директория>\aogc.ico
- <Текущая директория>\vsMg.ico
- <Текущая директория>\EAQs.exe
- <Текущая директория>\XQkU.ico
- <Текущая директория>\fcQi.exe
- <Текущая директория>\FuIY.ico
- <Текущая директория>\sMke.exe
- <Текущая директория>\AiMk.ico
- <Текущая директория>\aosc.exe
- <Текущая директория>\OEMy.exe
- %TEMP%\TAMkEAgA.bat
- <Текущая директория>\QcQi.exe
- <Текущая директория>\Ykwo.ico
- <Текущая директория>\Dscc.ico
- <Текущая директория>\dwcs.exe
- <Текущая директория>\aqAw.ico
- <Текущая директория>\PYQS.exe
- <Текущая директория>\ZowE.exe
- <Текущая директория>\BuEY.ico
- <Текущая директория>\mIIg.exe
- <Текущая директория>\DoEU.ico
- <Текущая директория>\JMge.exe
- %TEMP%\mWAwkIwA.bat
- <Текущая директория>\jAoE.exe
- <Текущая директория>\rcUc.ico
- <Текущая директория>\JsIi.exe
- <Текущая директория>\NMQw.ico
- %TEMP%\iWgMYgEA.bat
- <Текущая директория>\KQsg.ico
- <Текущая директория>\YkoU.exe
- <Текущая директория>\wAgc.ico
- <Текущая директория>\JcsQ.exe
- <Текущая директория>\WYgY.ico
- <Текущая директория>\gMIe.exe
- <Текущая директория>\emEU.ico
- <Текущая директория>\LAAi.exe
- <Текущая директория>\NmcI.ico
- <Текущая директория>\pkAU.ico
- <Текущая директория>\TwwE.exe
- <Текущая директория>\vokw.exe
- %TEMP%\RIgkgMUE.bat
- <Текущая директория>\UaEE.ico
- <Текущая директория>\GwEg.ico
- <Текущая директория>\BCwY.ico
- <Текущая директория>\VYYC.exe
- <Текущая директория>\QYQs.exe
- <Текущая директория>\IuYc.ico
- <Текущая директория>\WMEk.exe
- <Текущая директория>\hEwQ.ico
- %TEMP%\vAskEEog.bat
- <Текущая директория>\IwQW.exe
- <Текущая директория>\eiAU.ico
- <Текущая директория>\WkAE.exe
- <Текущая директория>\bGEs.ico
- <Текущая директория>\xAwI.exe
- <Текущая директория>\oCoI.ico
- <Текущая директория>\iMoe.exe
- <Текущая директория>\rKsQ.ico
- %TEMP%\jEMkcUsk.bat
- <Текущая директория>\msUI.ico
- <Текущая директория>\jYAQ.ico
- <Текущая директория>\OcIC.exe
- <Текущая директория>\KYMO.exe
- <Текущая директория>\EYcM.ico
- <Текущая директория>\YwwO.exe
- <Текущая директория>\hkEg.ico
- <Текущая директория>\BKQQ.ico
- <Текущая директория>\mMIk.exe
- <Текущая директория>\TQgw.ico
- <Текущая директория>\cYom.exe
- <Текущая директория>\lOkM.ico
- <Текущая директория>\PsIo.exe
- <Текущая директория>\MOgY.ico
- <Текущая директория>\jUMy.exe
- <Текущая директория>\lkMM.ico
- <Текущая директория>\cAou.exe
- <Текущая директория>\Dccy.exe
- %TEMP%\bIkAoccs.bat
- <Текущая директория>\iqAw.ico
- <Текущая директория>\XYAM.exe
- <Текущая директория>\RekM.ico
- <Текущая директория>\PwEq.exe
Перемещает следующие файлы:
- C:\RCX1028.tmp в <Текущая директория>\cokG.exe
- C:\RCX14DA.tmp в <Текущая директория>\wIoO.exe
- C:\RCX1661.tmp в <Текущая директория>\IAMe.exe
- C:\RCXE43.tmp в <Текущая директория>\BIsQ.exe
- C:\RCX809.tmp в <Текущая директория>\fogw.exe
- C:\RCXBB2.tmp в <Текущая директория>\gQoa.exe
- C:\RCXCBC.tmp в <Текущая директория>\Xsgs.exe
- C:\RCX179A.tmp в <Текущая директория>\eggq.exe
- C:\RCX20C3.tmp в <Текущая директория>\JcsU.exe
- C:\RCX2315.tmp в <Текущая директория>\kcoi.exe
- C:\RCX246D.tmp в <Текущая директория>\qAsi.exe
- C:\RCX1F6B.tmp в <Текущая директория>\AUki.exe
- C:\RCX196F.tmp в <Текущая директория>\aIUk.exe
- C:\RCX1B82.tmp в <Текущая директория>\dcMM.exe
- C:\RCX1CAC.tmp в <Текущая директория>\zIUy.exe
- C:\RCXEA12.tmp в <Текущая директория>\wAMw.exe
- C:\RCXEB8A.tmp в <Текущая директория>\mkQk.exe
- C:\RCXECB3.tmp в <Текущая директория>\sgkm.exe
- C:\RCXE531.tmp в <Текущая директория>\oQoy.exe
- C:\RCXDC87.tmp в <Текущая директория>\iIos.exe
- C:\RCXDED9.tmp в <Текущая директория>\noYI.exe
- C:\RCXE159.tmp в <Текущая директория>\GsMs.exe
- C:\RCXEEB7.tmp в <Текущая директория>\OIci.exe
- C:\RCXFBB7.tmp в <Текущая директория>\Jokw.exe
- C:\RCXFD2E.tmp в <Текущая директория>\xEAM.exe
- C:\RCX672.tmp в <Текущая директория>\MgEg.exe
- C:\RCXFA30.tmp в <Текущая директория>\zYIG.exe
- C:\RCXF03E.tmp в <Текущая директория>\IMMm.exe
- C:\RCXF712.tmp в <Текущая директория>\PQoc.exe
- C:\RCXF906.tmp в <Текущая директория>\WMIm.exe
- C:\RCX275B.tmp в <Текущая директория>\sgck.exe
- C:\RCX561C.tmp в <Текущая директория>\TUsw.exe
- C:\RCX5949.tmp в <Текущая директория>\oMYW.exe
- C:\RCX5A91.tmp в <Текущая директория>\jEIW.exe
- C:\RCX54C4.tmp в <Текущая директория>\Locm.exe
- C:\RCX4D42.tmp в <Текущая директория>\lowC.exe
- C:\RCX50DC.tmp в <Текущая директория>\OcgK.exe
- C:\RCX539B.tmp в <Текущая директория>\ZwMc.exe
- C:\RCX5E59.tmp в <Текущая директория>\howc.exe
- C:\RCX6A21.tmp в <Текущая директория>\gcgU.exe
- C:\RCX6AFD.tmp в <Текущая директория>\hgYU.exe
- C:\RCX6C55.tmp в <Текущая директория>\jcIA.exe
- C:\RCX680E.tmp в <Текущая директория>\ZUEU.exe
- C:\RCX5FC1.tmp в <Текущая директория>\jEAQ.exe
- C:\RCX62ED.tmp в <Текущая директория>\scUW.exe
- C:\RCX6465.tmp в <Текущая директория>\bscy.exe
- C:\RCX3065.tmp в <Текущая директория>\JcIY.exe
- C:\RCX3259.tmp в <Текущая директория>\Ckgi.exe
- C:\RCX3547.tmp в <Текущая директория>\PUEa.exe
- C:\RCX2CAC.tmp в <Текущая директория>\bosE.exe
- C:\RCX28C3.tmp в <Текущая директория>\AsoE.exe
- C:\RCX2A59.tmp в <Текущая директория>\OcEG.exe
- C:\RCX2B83.tmp в <Текущая директория>\qgsm.exe
- C:\RCX3CB7.tmp в <Текущая директория>\igAo.exe
- C:\RCX47B4.tmp в <Текущая директория>\tIUg.exe
- C:\RCX48ED.tmp в <Текущая директория>\NkMw.exe
- C:\RCX4B1F.tmp в <Текущая директория>\Rggo.exe
- C:\RCX4533.tmp в <Текущая директория>\cwcc.exe
- C:\RCX3FB4.tmp в <Текущая директория>\EUYc.exe
- C:\RCX4189.tmp в <Текущая директория>\pQYE.exe
- C:\RCX43AC.tmp в <Текущая директория>\ZIsq.exe
- C:\RCX6FB6.tmp в <Текущая директория>\QEky.exe
- C:\RCX740B.tmp в <Текущая директория>\fkgY.exe
- C:\RCX7582.tmp в <Текущая директория>\JYsE.exe
- C:\RCX6F19.tmp в <Текущая директория>\CccG.exe
- C:\RCX6A65.tmp в <Текущая директория>\DAMO.exe
- C:\RCX6C88.tmp в <Текущая директория>\qgES.exe
- C:\RCX6D82.tmp в <Текущая директория>\qEkQ.exe
- C:\RCX769C.tmp в <Текущая директория>\GEEO.exe
- C:\RCX80AF.tmp в <Текущая директория>\SMgY.exe
- C:\RCX8725.tmp в <Текущая директория>\xgMq.exe
- C:\RCX8810.tmp в <Текущая директория>\LsUm.exe
- C:\RCX7E1F.tmp в <Текущая директория>\KMUy.exe
- C:\RCX7871.tmp в <Текущая директория>\BMci.exe
- C:\RCX7A27.tmp в <Текущая директория>\fgsQ.exe
- C:\RCX7BDC.tmp в <Текущая директория>\Swwu.exe
- C:\RCX55C1.tmp в <Текущая директория>\vkUE.exe
- C:\RCX5813.tmp в <Текущая директория>\qUEg.exe
- C:\RCX5CD5.tmp в <Текущая директория>\hMMA.exe
- C:\RCX5350.tmp в <Текущая директория>\ZIcg.exe
- C:\RCX4A67.tmp в <Текущая директория>\bIMk.exe
- C:\RCX4F68.tmp в <Текущая директория>\XIgu.exe
- C:\RCX5265.tmp в <Текущая директория>\VgAO.exe
- C:\RCX5D62.tmp в <Текущая директория>\QcQi.exe
- C:\RCX64D6.tmp в <Текущая директория>\EAQs.exe
- C:\RCX665D.tmp в <Текущая директория>\aosc.exe
- C:\RCX6813.tmp в <Текущая директория>\sMke.exe
- C:\RCX635F.tmp в <Текущая директория>\fcQi.exe
- C:\RCX5DFF.tmp в <Текущая директория>\OEMy.exe
- C:\RCX5F86.tmp в <Текущая директория>\PYQS.exe
- C:\RCX6207.tmp в <Текущая директория>\dwcs.exe
- C:\RCX88EC.tmp в <Текущая директория>\UYkk.exe
- C:\RCXC322.tmp в <Текущая директория>\ZowE.exe
- C:\RCXC3FE.tmp в <Текущая директория>\jAoE.exe
- C:\RCXC5B4.tmp в <Текущая директория>\JMge.exe
- C:\RCXC209.tmp в <Текущая директория>\mIIg.exe
- C:\RCXB7F8.tmp в <Текущая директория>\JsIi.exe
- C:\RCXBBB0.tmp в <Текущая директория>\JcsQ.exe
- C:\RCXC0B0.tmp в <Текущая директория>\YkoU.exe
- C:\RCXCA08.tmp в <Текущая директория>\VYYC.exe
- C:\RCXD69B.tmp в <Текущая директория>\gMIe.exe
- C:\RCXD9D7.tmp в <Текущая директория>\vokw.exe
- C:\RCXDB5E.tmp в <Текущая директория>\TwwE.exe
- C:\RCXD34F.tmp в <Текущая директория>\LAAi.exe
- C:\RCXCB8F.tmp в <Текущая директория>\VgAO.exe
- C:\RCXCE1F.tmp в <Текущая директория>\WMEk.exe
- C:\RCXCFC6.tmp в <Текущая директория>\QYQs.exe
- C:\RCX956F.tmp в <Текущая директория>\IwQW.exe
- C:\RCX9918.tmp в <Текущая директория>\iMoe.exe
- C:\RCX9AAE.tmp в <Текущая директория>\xAwI.exe
- C:\RCX934C.tmp в <Текущая директория>\WkAE.exe
- C:\RCX8C76.tmp в <Текущая директория>\OcIC.exe
- C:\RCX8DAF.tmp в <Текущая директория>\YwwO.exe
- C:\RCX909C.tmp в <Текущая директория>\KYMO.exe
- C:\RCX9C64.tmp в <Текущая директория>\Dccy.exe
- C:\RCXA723.tmp в <Текущая директория>\mMIk.exe
- C:\RCXACBF.tmp в <Текущая директория>\jUMy.exe
- C:\RCXB420.tmp в <Текущая директория>\PsIo.exe
- C:\RCXA454.tmp в <Текущая директория>\cYom.exe
- C:\RCX9E0A.tmp в <Текущая директория>\cAou.exe
- C:\RCXA0F8.tmp в <Текущая директория>\PwEq.exe
- C:\RCXA31B.tmp в <Текущая директория>\XYAM.exe
Самоудаляется.
Сетевая активность:
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK google.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'GocwIYEU.exe'
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: 'Microsoft Windows'
- ClassName: 'Indicator' WindowName: ''
- ClassName: '' WindowName: 'rSYkcwMw.exe'
