Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Mnopqr Tuvwxyab Def] 'ImagePath' = '<SYSTEM32>\mmqcmg.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\Mnopqr Tuvwxyab Def] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "C:\8590.vbs"
Запускает на исполнение:
- '%TEMP%\is-QBMAI.tmp\IWan968Install.tmp' /SL5="$40092,11697774,151552,%WINDIR%\inf\IWan968Install.exe"
- '<SYSTEM32>\mmqcmg.exe'
- '%WINDIR%\inf\iwan968.exe'
- '%WINDIR%\inf\IWan968Install.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\is-6JO3A.tmp\_isetup\_shfoldr.dll
- <SYSTEM32>\mmqcmg.exe
- C:\8590.vbs
- %WINDIR%\inf\IWan968Install.exe
- %WINDIR%\inf\iwan968.exe
- %TEMP%\is-QBMAI.tmp\IWan968Install.tmp
Удаляет следующие файлы:
- C:\8590.vbs
- %WINDIR%\inf\iwan968.exe
Сетевая активность:
Подключается к:
- '11#####10.paobbb.com':50128
UDP:
- DNS ASK 11#####10.paobbb.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
