Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 'JQSIEStartDetectorImpl Class' = '{0983069E-1DE1-4EEA-98B6-CF4932BBEA0E}'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\calc.exe
- %WINDIR%\regedit.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Favorites\QQГАНј.url
- %HOMEPATH%\Favorites\ИИµгЧКС¶-ЖжОЕИ¤ОД.url
- %HOMEPATH%\Favorites\И¦И¦ГАЕ®.url
- %PROGRAM_FILES%\Java\jre\bin\jqs12.dll
- %HOMEPATH%\Favorites\°Щ¶ИУ°Тф-МмМГѕзјЇХѕ.url
- %HOMEPATH%\Favorites\РВТХУ°Фє--ЧоРВґуЖ¬ФЪПЯёЯЛЩ№Ыїґ.url
- %HOMEPATH%\Favorites\ѕ«Ж·№єОпµјєЅ.url
- %HOMEPATH%\Favorites\КйіжМмПВ--ёьРВЧоїмµДГв·СРЎЛµНш.url
- %HOMEPATH%\Favorites\86ѕ«Ж·НшЦ·µјєЅ.url
- %HOMEPATH%\Favorites\QQїХјдХѕ.url
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ie.#5m.info':80
- 'localhost':1034
TCP:
Запросы HTTP GET:
- ie.#5m.info/logo.jpg
UDP:
- DNS ASK ie.#5m.info
- '<IP-адрес в локальной сети>':1035
