Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SogouCom' = '<Полный путь к файлу>'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'SogouCom' = '<Полный путь к файлу>'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\otvfx258113208092] 'ImagePath' = '%TEMP%\GA5kqtZ.sys'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im 360rps.exe /im ZhuDongFangYu.exe /im 360EntClient.exe /im 360sd.exe /im 360rp.exe /im 360tray.exe /im 360rps.exe
- '<SYSTEM32>\taskkill.exe' /f /im kxescore.exe /im knbcenter.exe /im kxetray.exe
Завершает или пытается завершить
следующие пользовательские процессы:
- 360tray.exe
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtOpenProcess, драйвер-обработчик: GA5kqtZ.sys
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\SogouComM.exe
- %TEMP%\GA5kqtZ.sys
- %APPDATA%\SogouPY.users\acc.dat.sgbak
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\GA5kqtZ.sys
Удаляет следующие файлы:
- %TEMP%\GA5kqtZ.sys
Перемещает следующие файлы:
- %APPDATA%\SogouPY.users\acc.dat.sgbak в %APPDATA%\SogouPY.users\acc.dat
Сетевая активность:
Подключается к:
- 'po##.#inexmr.com':7777
UDP:
- DNS ASK po##.#inexmr.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
Создает и запускает на исполнение:
- '<Текущая директория>\SogouComM.exe' -a cryptonight -o pool.minexmr.com:7777 -u 49UFtcDaDaMVC2f1SDkivEgUiAU4pB4B1XPqa96oxTXyF9fp7GvydE8RnUexLYQYobWaoe8iA6Tur9JACrH2vtCR44ZGA9G -p x -k --donate-level=1
