Trojan.MulDrop7.57981

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVAPW32.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Smc.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVSYNMGR.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mpftray.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgcc32.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\clamWin.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Zonealarm.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgcc.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Outpost.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avgctrl.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Application' = '%APPDATA%\app.exe -boot'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'AutoUpdate' = '%APPDATA%\log\AutoUpdate.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avpcc.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avpm.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avp.exe] 'Debugger' = '%APPDATA%\1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avp32.exe] 'Debugger' = '%APPDATA%\1.exe'

Вредоносные функции:

Для затруднения выявления своего присутствия в системе

изменяет следующие системные настройки:

Отключает уведомления панели задач

Запускает на исполнение:

'<SYSTEM32>\netsh.exe' firewall add allowedprogram program = STcONaURjstoJeQ(uMqeEfSfaGeNmho("yJmAEIBBXdvRXSFRGegUiJnA")) name = STcONaURjstoJeQ(uMqeEfSfaGeNmho("XQ0V1bwVGZ0FQZ==")) mode = ENABLE

Внедряет код в

следующие системные процессы:

%WINDIR%\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe

Завершает или пытается завершить

следующие пользовательские процессы:

smc.exe
NAVAPW32.EXE
mpftray.exe
ZONEALARM.EXE
ClamWin.exe
AVGCC32.EXE
avgcc.exe
AVP.EXE
AVGCTRL.EXE
outpost.exe
AVP32.EXE
AVSYNMGR.EXE
AVPM.EXE
AVPCC.EXE

Изменения в файловой системе:

Создает следующие файлы:

%APPDATA%\log\Passwords.txt
%APPDATA%\log\pass.exe
%TEMP%\aut3.tmp
%APPDATA%\log\logs_10.01.2018.htm
%TEMP%\rxcyqqb
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\zugu[1].exe
%TEMP%\aut1.tmp
%APPDATA%\app.exe
%TEMP%\kedqvkm
%APPDATA%\log\AutoUpdate.exe
%TEMP%\aut2.tmp

Удаляет следующие файлы:

%TEMP%\aut3.tmp
%TEMP%\rxcyqqb
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe
%TEMP%\aut1.tmp
%TEMP%\kedqvkm
%TEMP%\aut2.tmp

Сетевая активность:

Подключается к:

'vi#####smsonline.site':80

TCP:

Запросы HTTP GET:

http://vi#####smsonline.site/zugu.exe

UDP:

DNS ASK vi#####smsonline.site

Другое:

Создает и запускает на исполнение:

'%APPDATA%\log\AutoUpdate.exe'
'%APPDATA%\app.exe'

Запускает на исполнение:

'<SYSTEM32>\cmd.exe' /k ping 0 & del "%WINDIR%\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe" & exit
'<SYSTEM32>\ping.exe' 0
'<SYSTEM32>\hostname.exe'
'<SYSTEM32>\cmd.exe' /k HOSTNAME
'%WINDIR%\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe'
'<SYSTEM32>\cmd.exe' /c netsh firewall add allowedprogram program = STcONaURjstoJeQ(uMqeEfSfaGeNmho("yJmAEIBBXdvRXSFRGegUiJnA")) name = STcONaURjstoJeQ(uMqeEfSfaGeNmho("XQ0V1bwVGZ0FQZ==")) mode = ENABLE
'<SYSTEM32>\cmd.exe' /c %APPDATA%\log\pass.exe all