Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ias] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- C:\Inpaint.exe
- C:\youyou.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\120468.txt
- <SYSTEM32>\bhoiqdespy
- <Текущая директория>\qxvmttvqlc
- C:\youyou.exe
- C:\Inpaint.exe
Удаляет следующие файлы:
- <SYSTEM32>\config\SysEvent.Evt
- C:\youyou.exe
- <SYSTEM32>\bhoiqdespy
- <Текущая директория>\qxvmttvqlc
- <SYSTEM32>\config\AppEvent.Evt
- <SYSTEM32>\config\SecEvent.Evt
Перемещает следующие файлы:
- %TEMP%\120468.txt в %PROGRAM_FILES%\Google\idx.dll
Сетевая активность:
Подключается к:
- 'qq####ou.gicp.net':6587
- 'qq####ou.3322.org':8312
UDP:
- DNS ASK qq####ou.gicp.net
- DNS ASK qq####ou.3322.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
