Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\qqpcmgr_v10.2.15416.218_8878656_Silence.exe'
- 'C:\kuyouxi.exe'
- 'C:\duba_94_18.exe'
- 'C:\kuyouxi.exe' (загружен из сети Интернет)
- 'C:\duba_94_18.exe' (загружен из сети Интернет)
- 'C:\qqpcmgr_v10.2.15416.218_8878656_Silence.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\ntvdm.exe' -f -i1
Изменения в файловой системе:
Создает следующие файлы:
- C:\kuyouxi.exe
- C:\qhse_7654_26043_i2_26043.exe
- C:\360sd_7654_26043_a2_26043.exe
- C:\BlueResource.bpk
- C:\BlueInstaller_bsftmq_24963_.exe
- C:\install1148140.exe
- %WINDIR%\Temp\scs1.tmp
- <Текущая директория>\sa.exe
- %WINDIR%\Temp\scs2.tmp
- C:\qqpcmgr_v10.2.15416.218_8878656_Silence.exe
- C:\duba_94_18.exe
Удаляет следующие файлы:
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
Сетевая активность:
Подключается к:
- 'be#.#chpark.com':80
- 'www.to##bbc.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- http://www.to##bbc.com/360sd_7654_26043_a2_26043.exe
- http://www.to##bbc.com/kuyouxi.exe
- http://be#.#chpark.com/BlueResource.bpk
- http://www.to##bbc.com/BlueInstaller_bsftmq_24963_.exe
- http://www.to##bbc.com/qqpcmgr_v10.2.15416.218_8878656_Silence.exe
- http://www.to##bbc.com/duba_94_18.exe
- http://www.to##bbc.com/qhse_7654_26043_i2_26043.exe
- http://www.to##bbc.com/install1148140.exe
UDP:
- DNS ASK be#.#chpark.com
- DNS ASK www.to##bbc.com
Другое:
Ищет следующие окна:
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b44.b48.380001'
