Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'cdvwts' = '<SYSTEM32>\qnsjpg.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\sxs.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует:
- Компонент восстановления системы (SR)
Создает и запускает на исполнение:
- '<SYSTEM32>\qnsjpg.exe'
Запускает на исполнение:
- '<SYSTEM32>\net.exe' stop KVWSC
- '<SYSTEM32>\net1.exe' stop sharedaccess
- '<SYSTEM32>\net1.exe' stop KVWSC
- '<SYSTEM32>\sc.exe' config KVWSC start= disabled
- '<SYSTEM32>\net.exe' stop sharedaccess
- '<SYSTEM32>\net.exe' stop srservice
- '%WINDIR%\regedit.exe' /s <SYSTEM32>\noruns.reg
- '<SYSTEM32>\sc.exe' config srservice start= disabled
- '<SYSTEM32>\net1.exe' stop srservice
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: <SYSTEM32>\qnsjpg.dll
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\noruns.reg
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\drivetable.txt
- <SYSTEM32>\qnsjpg.dll
- <SYSTEM32>\QQhx.dat
- <SYSTEM32>\qnsjpg.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\sxs.exe
- <SYSTEM32>\qnsjpg.dll
Удаляет следующие файлы:
- <SYSTEM32>\noruns.reg
- <SYSTEM32>\QQhx.dat
- <SYSTEM32>\qnsjpg.exe
Другое:
Ищет следующие окна:
- ClassName: 'cdvwts' WindowName: 'cdvwts'
- ClassName: 'dqhx' WindowName: 'dqhx'
- ClassName: '(null)' WindowName: '(null)'
