Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Win64svc' = 'ncpmmq.txt'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\appdata\778899.exe' -p000111222q
- '%TEMP%\ncpmmq.txt'
- '%TEMP%\jhyugbvq.txt'
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn "Dec%USERNAME%" /tr "%TEMP%\ncpmmq.txt"
- '%ProgramFiles%\Internet Explorer\IEXPLORE.EXE' -Embedding
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ncpmmq.txt
- %TEMP%\aut3.tmp
- %TEMP%\sourse.exe
- %TEMP%\aut1.tmp
- %TEMP%\jhyugbvq.txt
- %TEMP%\aut2.tmp
Удаляет следующие файлы:
- %TEMP%\aut3.tmp
- %TEMP%\appdata\778899.exe
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
Сетевая активность:
Подключается к:
- 'ds####djewurwe.club':1928
- '18#.#80.197.39':1928
- 'an###nter.pw':1928
- 'ds####djewurwe.xyz':1928
- 'ip##pi.com':80
- 'ip###ger.com':443
- 'localhost':1036
- '74.##5.232.51':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- http://ip##pi.com/line/
- http://clients3.google.com/generate_204 via 74.##5.232.51
- http://11#.#11.111.2/wpad.dat via wp#d
UDP:
- DNS ASK ds####djewurwe.club
- DNS ASK ds####djewurwe.xyz
- DNS ASK an###nter.pw
- DNS ASK ip##pi.com
- DNS ASK ip###ger.com
- DNS ASK wp#d
- DNS ASK clients3.google.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
