Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MhrHcrji' = '<LS_APPDATA>\ebaurodr\mhrhcrji.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,,<LS_APPDATA>\ebaurodr\mhrhcrji.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\mhrhcrji.exe
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\empchqloliakgweu.exe
Запускает на исполнение:
- <SYSTEM32>\svchost.exe
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtOpenKey, драйвер-обработчик: tssofofu.sys
- NtCreateKey, драйвер-обработчик: tssofofu.sys
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tssofofu.sys
- %WINDIR%\Temp\6decd52f
- %WINDIR%\Temp\7fffffb1
- %TEMP%\empchqloliakgweu.exe
- <LS_APPDATA>\niuydqre.log
- <LS_APPDATA>\ebaurodr\mhrhcrji.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\Start Menu\Programs\Startup\mhrhcrji.exe
Удаляет следующие файлы:
- %TEMP%\tssofofu.sys
Сетевая активность:
Подключается к:
- 'dm####gohwwatl.com':443
- 'qg###bnqcf.com':443
- 'ft####refryk.com':443
- '74.##5.232.51':80
- 'sa###rbog.com':443
UDP:
- DNS ASK xv#####qsvcewsucufs.com
- DNS ASK wl####ojtlqel.com
- DNS ASK iv#####bphorlmxte.com
- DNS ASK ok###xbrlvk.com
- DNS ASK xm###dyv.com
- DNS ASK kc#####tokjlwfem.com
- DNS ASK ar###clm.com
- DNS ASK mh#####gntxllkxy.com
- DNS ASK yc####buxcskmm.com
- DNS ASK ug###offlqt.com
- DNS ASK ka#####tgbuucwgf.com
- DNS ASK gu#####eerlwcgcum.com
- DNS ASK lm#####vpshugyuqya.com
- DNS ASK rc###tpqwxx.com
- DNS ASK em#####gcdnmktadl.com
- DNS ASK yy#####tpknfghmm.com
- DNS ASK oq###qesdbg.com
- DNS ASK sa###rbog.com
- DNS ASK fa###iqcblu.com
- DNS ASK um#####gnygoutfv.com
- DNS ASK hq#####jpjeerrmqrd.com
- DNS ASK ft####refryk.com
- DNS ASK dm####gohwwatl.com
- DNS ASK qg###bnqcf.com
- DNS ASK ke###gbek.com
- DNS ASK mq#####ckkbwgihlbwm.com
- DNS ASK jk####jmaucfbd.com
- DNS ASK google.com
- DNS ASK pv###kio.com
- DNS ASK re####idmcrxbnd.com
- DNS ASK wu#####rsrnhmtrv.com
- '<IP-адрес в локальной сети>':1041
- '<IP-адрес в локальной сети>':1035
- '<IP-адрес в локальной сети>':1040
- '<IP-адрес в локальной сети>':1043
- '<IP-адрес в локальной сети>':1039
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
