Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'oktciweb' = '"C:\ProgramData\uqam\qtiquhid.exe"'
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\explorer.exe'
- '<SYSTEM32>\attrib.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\Dwm.exe
- <SYSTEM32>\DllHost.exe
- <SYSTEM32>\attrib.exe
- <SYSTEM32>\taskhost.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\ProgramData\uxwxjqow\fxyqizih.dat
- C:\ProgramData\uxwxjqow\udkkanes.dat
- C:\ProgramData\uqam\qtiquhid.exe
- %APPDATA%\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2832440558-3064306045-1455513625-1000\7ee83745df35bad5ccfc8cd8875de253_97c09787-6498-4b10-8f65-9471d842c55e
- C:\ProgramData\uxwxjqow\ekahapaq.dat
- C:\ProgramData\Sun\ekahapaq.bkp
Сетевая активность:
Подключается к:
- '20#.#6.232.182':80
- 'fa###ook.com':80
- 'sn###arden.su':443
TCP:
Запросы HTTP GET:
- 20#.#6.232.182/
- fa###ook.com/
UDP:
- DNS ASK fa###ook.com
- DNS ASK microsoft.com
- DNS ASK sn###arden.su
- DNS ASK dn#.##ftncsi.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'shell_traywnd' WindowName: ''
