Technical Information
Malicious functions
Injects code into
the following system processes:
- %WINDIR%\syswow64\svchost.exe
Modifies file system
Creates the following files
- %WINDIR%\syswow64\help\0202021dsfsd.ini
- %WINDIR%\syswow64\help\1.cppjwqv
- %WINDIR%\syswow64\help\2.cppjwqv
- %WINDIR%\syswow64\cppjwqv\cppjwqv\kpkpphw\m.ini
- %WINDIR%\2.ini
- %WINDIR%\help\cppjwqv.hlp
- %WINDIR%\syswow64\cppjwqv\cppjwqv\kpkpphw\kvnomia.exe
- <SYSTEM32>\spool\drivers\w32x86\3\ppjwqvc\ppjwqvc.exe
- D:\recycler\s-1-5-18\dc8\ppjwqvc\ppjwqvc000.imd
- D:\recycler\s-1-5-18\dc8\ppjwqvc\ppjwqvc001.imd
- D:\recycler\s-1-5-18\dc8\ppjwqvc\ppjwqvc002.imd
- D:\recycler\s-1-5-18\dc8\ppjwqvc\ppjwqvc003.imd
- D:\recycler\s-1-5-18\dc8\ppjwqvc\ppjwqvc004.imd
- D:\recycler\s-1-5-18\dc8\ppjwqvc\ppjwqvc005.imd
- D:\recycler\s-1-5-18\dc8\ppjwqvc\ppjwqvc006.imd
- D:\recycler\s-1-5-18\dc8\ppjwqvc\ppjwqvc007.imd
- D:\recycler\s-1-5-18\dc8\ppjwqvc\ppjwqvc008.imd
- D:\recycler\s-1-5-18\dc8\ppjwqvc\ppjwqvc009.imd
- D:\recycler\s-1-5-18\dc8\ppjwqvc\ppjwqvc010.imd
Miscellaneous
Creates and executes the following
- '%WINDIR%\syswow64\cppjwqv\cppjwqv\kpkpphw\kvnomia.exe' -close
Executes the following
- '%WINDIR%\syswow64\svchost.exe' -NetworkService
- '%WINDIR%\syswow64\cppjwqv\cppjwqv\kpkpphw\kvnomia.exe' -close' (with hidden window)
